Recurso de privacidade do Safari, da Apple, pode fazer mais mal que bem, diz Google

Pesquisadores do Google dizem que o recurso de privacidade presente no Safari, o navegador da Apple, não protege o usuário de forma apropriada.

Logotipo do navegador Safari, da Apple

Navegador Safari. Crédito: AP

De todas as gigantes da tecnologia, a Apple repetidamente nos lembra que é a empresa que mais se importa com privacidade.

Uma das suas inovações neste ramo foi o o sistema de “Prevenção Inteligente de Monitoramento” do Safari — um algoritmo de machine learning introduzido em 2017 com o objetivo de interromper propagandas chatas de perseguirem as pessoas de um site para outro. No entanto, um estudo publicado por pesquisadores do Google no início desta semana contesta este sistema inteligente, chamado de ITP (Intelligent Tracking Prevention), e diz que ele pode ser usado para obter informações pessoais dos usuários.

Eis aqui o que dizem os pesquisadores do Google no estudo: o ITP protege os usuários de serem rastreados, impedindo que os sites consigam identificar o usuário. Outra maneira de explicar é que o ITP descobre quais sites têm permissão para usar cookies do navegador ou scripts de rastreamento de domínios de terceiros.

Portanto, se você estiver visitando um site de propósito, ele não se aplica. No entanto, se um site estiver tentando rastrear você por meio de um script e você não o tiver visitado ativamente, o ITP encerrará isso removendo os cookies ou removendo a URL do cabeçalho do referenciador. Com base no que encontra, os domínios problemáticos são adicionados a uma lista ITP do dispositivo. O problema é a classificação de sites “bons” versus sites “ruins”, que são baseados nos padrões de navegação do usuário. Os pesquisadores do Google dizem que isso mostra que o “Safari introduziu o estado global no navegador, que pode ser modificado e detectado em todos os documentos”.

Em resumo, isso significa que os usuários mal-intencionados podem facilmente determinar se um domínio sob seu controle está na sua lista pessoal de ITP e também revelar o estado do ITP de qualquer domínio. A partir daí, os invasores poderão inferir informações privadas sobre seus hábitos de navegação pessoal.

Os pesquisadores também identificaram cinco ataques em potencial para cenários com a ferramenta.

Tudo isso certamente não é muito bom, mas o principal argumento que o Google encontrou para criticar o ITP foi que: um recurso destinado a proteger os usuários contra o rastreamento invasivo de terceiros introduziu involuntariamente sérias vulnerabilidades de proteção e segurança.

A Apple, por sua vez, abordou um número não especificado dos problemas no mês passado nas atualizações Safari 13.0.4 e iOS 13.3. O engenheiro do Apple Webkit John Wilander também escreveu um post detalhando as alterações incluídas nessas atualizações em 10 de dezembro e, desde então, tuitou sobre o “estado das configurações padrão do rastreamento cruzado em 2020” — uma crítica pela falta de opções no mundo dos navegadores que não seja baseada no Chrome.

No entanto, há alguma divergência quanto à adequação dessas correções. O Ars Technica observou que as alterações da Apple pareciam ser “atenuações de curto prazo”. Basicamente, as atualizações tornam mais difícil para os invasores abusarem do ITP, mas a questão fundamental do recurso que depende do histórico de navegação individual permanece. É um sentimento que foi também ressoado no Twitter por Justin Schuh, diretor de engenharia de segurança do Chrome.

“Esse é um problema maior do que o ITP do Safari, que introduz vulnerabilidades de privacidade muito mais sérias do que os tipos de rastreamento que ele deve reduzir”, tuitou Schuh. “A pesquisa entre sites e os canais secundários relacionados a eles também expostos são vulnerabilidades de segurança abusivas”.

Schuh foi adiante dizendo que a abordagem anti-rastreamento era o problema e que a tentativa da Apple de mitigar o problema adicionando “mecanismos de estado” muitas vezes abre as portas para preocupações mais sérias de privacidade e segurança (Schuh também jogou indiretas em vários tuítes sobre a Apple, alegando que a empresa não credita adequadamente os pesquisadores do Google, não divulga as vulnerabilidades e não corrige adequadamente os problemas relatados).

O Gizmodo entrou em contato com o Google e a Apple para comentar as correções e alegações de que eles são insuficientes. Atualizaremos se recebermos alguma resposta. Enquanto isso, se as notícias lhe assustarem, você pode desativar o ITP acessando Preferências do Safari, Privacidade e desmarcando a caixa “Impedir rastreamento entre sites”.

[Ars Technica]

Sair da versão mobile