Estão pegando suas impressões digitais?

Pesquisadores criaram uma extensão para aprender sobre as informações que os sites coletam como “impressão digital” dos navegadores.

Esteja você observando as espirais e as voltas de um dedo ou informações do navegador analogamente exclusivas, usar uma impressão digital é uma maneira altamente precisa de identificar alguém. É muito mais difícil obter a impressão digital de uma pessoa sem seu conhecimento, mas todos os tipos de serviços da internet identificam  os usuários pela “impressão digital” do navegador – e não com os seus interesses em mente.

Uma equipe da Bundeswehr University Munich desenvolveu uma extensão de navegador que permite rastrear quais sites coletam as impressões digitais de seu navegador e como o fazem. A equipe também analisou 10.000 sites populares para ver que tipo de informação eles coletam. A apresentação do membro da equipe, Julian Fietkau, no Remote Chaos Communication Congress (RC3) discutiu o problema e o trabalho da equipe nele.

O que é uma impressão digital do navegador?

Uma impressão digital do navegador é um conjunto de dados que um site da web pode obter sobre o seu computador e navegador, mediante solicitação, quando uma página é carregada. A impressão digital inclui dezenas de pontos de dados, desde o idioma que você usa e o fuso horário em que as extensões estão instaladas e a versão do seu navegador. Também pode incluir informações sobre seu sistema operacional, RAM, resolução de tela, configurações de fonte e muito mais.

Os sites coletam diversos tipos e quantidades de informações, usando-as para gerar um identificador exclusivo para você. A impressão digital do navegador não é um cookie, embora possa ser usada de forma semelhante. E, embora você tenha que consentir o uso de cookies (provavelmente você já está cansado de fechar as notificações de “nosso site usa cookies”), salvar as impressões digitais do navegador não requer consentimento.

Além disso, mesmo usar o modo anônimo não impede que a impressão digital do seu navegador seja compilada; quase todos os parâmetros do navegador e do dispositivo permanecem os mesmos e podem ser usados para determinar se a pessoa que está navegando é você.

Como as impressões digitais do navegador são utilizadas?

O primeiro objetivo de uma impressão digital de navegador é confirmar a identidade de um usuário sem nenhum esforço da parte dele. Por exemplo, se um banco pode dizer pela impressão digital do seu navegador que é você que está realizando uma transação, ele não precisa se preocupar em enviar um código de segurança para o seu telefone e pode se esforçar um pouco mais se alguém – até você – fizer login em sua conta com uma impressão digital de navegador diferente. Neste exemplo, as impressões digitais do navegador melhoram sua experiência.

O segundo objetivo é mostrar anúncios direcionados. Leia um guia em um site sobre como escolher um ferro de passar, depois vá para outro site que use a mesma rede de anunciantes e a rede mostrará a você anúncios do utensílio doméstico. Basicamente, é um rastreamento sem o seu consentimento, e a revolta e a suspeita dos usuários em relação à prática são bastante compreensíveis.

Dito isso, muitos sites com componentes integrados de várias redes de anúncios e serviços analíticos coletam e analisam suas impressões digitais.

Como saber se um site está pegando a impressão digital do seu navegador

Para obter as informações para compilar uma impressão digital do navegador, um site envia várias solicitações por meio de código JavaScript incorporado ao navegador. O compilado das respostas do navegador constitui sua impressão digital.

Fietkau e seus colegas analisaram as bibliotecas mais populares com esse tipo de código JavaScript, compilando uma lista de 115 técnicas distintas usadas com mais frequência para trabalhar com impressões digitais do navegador. Em seguida, eles criaram uma extensão de navegador chamada FPMON que analisa páginas online para ver se elas usam essas técnicas e informa ao usuário exatamente quais dados um determinado site está tentando coletar para compilar uma impressão digital do navegador.

Os usuários que possuírem a FPMON instalada receberão uma notificação quando um site solicitar informações específicas do navegador. Além disso, a equipe dividiu os tipos de informação em duas categorias: sensíveis e agressivas.

A primeira categoria inclui informações que um site pode solicitar por motivos legítimos. Por exemplo, saber o idioma do navegador permite que um site apareça em seu idioma preferido e as informações sobre seu fuso horário são necessárias para mostrar a hora correta. No entanto, essa informação ainda pode dizer algo sobre você.

As informações agressivas são irrelevantes para o site, provavelmente usadas com o único propósito de reunir a impressão digital do seu navegador. Pode incluir a quantidade de memória do dispositivo ou uma lista de plug-ins instalados, por exemplo.

Com que intensidade os sites coletam as impressões digitais do navegador?

O FPMON pode detectar solicitações de 40 tipos de informações. Quase todos os sites solicitam pelo menos algumas informações sobre o navegador ou dispositivo. Em que ponto devemos presumir que um site está realmente tentando tirar uma impressão digital? Em que ponto você deve se preocupar?

Os pesquisadores usaram sites existentes, como o projeto Panopticlick da EFF (também conhecido como Cover Your Tracks), que o grupo de defesa da privacidade criou para demonstrar como a impressão digital do navegador funciona. Panopticlick requer 23 parâmetros para funcionar e pode identificar um usuário com mais de 90% de confiança. Fietkau e sua equipe definiram 23 parâmetros como valor mínimo; igual ou acima disso, podemos presumir que um site está rastreando usuários.

Os pesquisadores examinaram os 10.000 principais sites (classificados por Alexa) e descobriram que a maioria deles – quase 57% – pede de 7 a 15 parâmetros, com um valor médio de 11 parâmetros para toda a amostra. Aproximadamente 5% dos sites não coletaram um único parâmetro, e o número máximo coletado foi 38 em 40 possíveis. No entanto, apenas três em 10.000 solicitaram tantas informações.

Os sites em sua amostra usaram mais de cem scripts para coletar os dados e, embora muito poucos scripts coletaram muitas informações da categoria agressiva, eles são usados em alguns sites muito populares.

Como se proteger contra impressões digitais

Duas abordagens podem evitar que os scripts de sites obtenham a impressão digital do seu navegador: bloqueá-los e fornecer informações incompletas ou incorretas. O software de privacidade usa um método ou outro. No lado do navegador, o Safari recentemente começou a fornecer apenas informações básicas e impessoais, protegendo os usuários de rastreá-los por meio de impressões digitais.

Algumas organizações também adotaram extensões de navegador. Por exemplo, Privacy Badger, um plugin de privacidade desenvolvido pela EFF, tenta bloquear scripts, embora nem todos eles. Por exemplo, o plug-in não afeta scripts que solicitam dados que podem ser necessários para que uma página seja exibida corretamente ou para que algumas de suas funções funcionem (mas que também podem contribuir para uma impressão digital).

Usamos a mesma abordagem em nossa extensão do navegador Kaspersky Protection, evitando que os sites coletem muitas informações do usuário e, assim, montem uma impressão digital. O Kaspersky Protection faz parte das nossas principais soluções de segurança para o consumidor. Só não se esqueça de habilitá-lo.

Dicas
Inscreva-se para receber nossos destaques em seu e-mail