Os cookies costumam estar no centro do debate quando o assunto é privacidade na internet. Eles são conhecidos por rastrear nossos movimentos on-line, armazenar preferências e alimentar sistemas de publicidade personalizada. Mas, se você acredita que navegar no modo anônimo ou rejeitar cookies é suficiente para se proteger, infelizmente, não é bem assim.

Existe uma técnica chamada fingerprinting, que permite identificar você na web sem precisar armazenar nada no seu dispositivo. Ela não exige permissão e tampouco pode ser facilmente apagada. Informações como seu sistema operacional e suas configurações passam a compor uma "impressão digital" única, capaz de segui-lo de site em site. A probabilidade de que duas pessoas diferentes tenham exatamente a mesma impressão digital usando o mesmo navegador, com configurações idênticas, é extremamente baixa.

O que é browser fingerprinting?

Trata-se de uma técnica que identifica qualquer dispositivo sem a necessidade do uso de cookies. O navegador coleta informações como a resolução da tela, o idioma, o sistema operacional, o fuso horário, as fontes instaladas, a configuração do teclado, o histórico de navegação e até mesmo as extensões utilizadas. Esses dados, quando combinados, geram um identificador único. Mesmo que rastreadores sejam bloqueados, o modo anônimo seja utilizado ou os cookies sejam apagados, essa impressão digital continua persistindo.

Muitas empresas e organizações utilizam essa técnica para monitorar a atividade dos usuários. Algumas a empregam para aprimorar estratégias de marketing com publicidade personalizada, outras para autenticar o acesso a aplicativos via web. Além disso, o fingerprinting também pode ser usado para detectar possíveis atividades fraudulentas ou práticas pouco éticas na internet.

Como funciona o browser fingerprinting?

O browser fingerprinting geralmente utiliza JavaScript para coletar dados de conexão, entre os quais estão:

  • Agente do usuário (User-Agent): tipo de navegador, versão e sistema operacional;
  • Endereço IP;
  • Resolução de tela;
  • Plug-ins instalados;
  • Fuso horário;
  • Idioma;
  • Fontes instaladas;
  • Configurações de tela sensível ao toque;
  • Configurações de armazenamento de cookies;
  • Informações de hardware, como GPU, CPU e drivers.

Essas informações são agrupadas para gerar um hash único, que funciona como identificador do dispositivo e é armazenado em uma base de dados segura. Esse identificador permanece constante, mesmo que o usuário apague seus cookies, servindo como ponto de referência para avaliar o comportamento do usuário e do dispositivo.

Os dados coletados não incluem informações pessoais diretas, como nome ou gênero. Eles se baseiam exclusivamente nas características do navegador, e cada hash apresenta pequenas variações relacionadas a fontes instaladas, resoluções de tela, configuração do teclado e ajustes de idioma.

Usos do fingerprinting

Detecção de fraudes

Golpistas costumam manter várias janelas abertas em um único dispositivo ao lançar suas campanhas de engenharia social. Cada uma dessas janelas tende a ter uma resolução menor do que a de um navegador padrão. Nesse contexto, as técnicas de fingerprinting conseguem identificar resoluções incomuns, que podem indicar uma possível atividade fraudulenta.

Outra métrica para avaliar se o dispositivo está sendo usado para cometer fraudes são as versões dos navegadores utilizadas. Em alguns casos, foi possível identificar versões antigas e vulneráveis devido à ausência de boas práticas por parte dos golpistas, e, em alguns casos, esses navegadores fazem parte de máquinas virtuais.

Os complementos instalados também são considerados para estimar o risco de que o dispositivo esteja sendo usado para atividades ilícitas, como bloqueadores de anúncios e anti-trackers, para citar alguns exemplos.

Marketing digital

Empresas especializadas em marketing digital utilizam a otimização de sites para identificar clientes potenciais. Elas coletam dados do navegador para entender quem visita seus sites e direcionar de forma mais eficaz as promoções de produtos e serviços.

Um exemplo prático é que esse tipo de empresa pode usar a localização para segmentar sua estratégia de vendas. A combinação de dados demográficos e da condição econômica da região é importante para determinar ofertas totalmente personalizadas.

Autenticação de aplicações web

Os logins são outra métrica que permite às empresas ou organizações identificar usuários legítimos, temporários ou aqueles que são clientes e funcionários. Na gestão dos navegadores, uma boa prática para as equipes de segurança é atribuir perfis de navegação para reduzir o risco de download de ameaças, vazamento de informações ou acesso a conteúdos não autorizados.

Para isso, é importante estabelecer métricas que notifiquem a equipe de segurança caso o usuário se desvie do padrão definido e, em situações de automação, que gerem uma resposta imediata. É fundamental destacar que o fingerprinting não substitui outros sistemas de autenticação, mas funciona como um complemento para reforçar a segurança da empresa, devendo ser acompanhado de soluções de autenticação multifatorial e firewalls bem configurados.

Técnicas de fingerprinting

Existem diversas técnicas utilizadas para identificar a atividade de um dispositivo na Internet. Algumas são mais comuns, enquanto outras apresentam maior complexidade e sofisticação. A seguir, destacam-se as mais utilizadas no browser fingerprinting:

  • Audio fingerprinting: com essa técnica, analisa-se como os dispositivos e/ou softwares processam o conteúdo de áudio. Ou seja, são utilizadas todas as saídas de áudio para detectar as versões do navegador, as placas de áudio e até mesmo a arquitetura da CPU. Para as ferramentas de segurança, essas saídas de áudio são analisadas e transformadas em um identificador único para cada dispositivo. Um exemplo de aplicação é o uso dessa técnica por empresas para combater o compartilhamento ilegal ou não autorizado de músicas, no âmbito da gestão de direitos digitais (DRM – Digital Rights Management).
  • Cross-browser fingerprinting: sabendo que o usuário pode instalar mais de um navegador em um ou vários dispositivos (móveis ou de desktop), gerar identificadores únicos e acompanhar sua atividade se tornaria uma tarefa complicada. Para isso, o cross-browser fingerprinting cria perfis de usuário baseados no hardware. Ou seja, complementos, versões de navegadores, resoluções de tela e sistemas operacionais permitem identificar os usuários em múltiplos dispositivos e navegadores por meio de um hash único.
  • TLS fingerprinting: quando um usuário navega na Internet e envia informações por meio dos navegadores, o tráfego web, na maioria das vezes, é criptografado pelo protocolo TLS (Transport Layer Security). O TLS se baseia em técnicas de handshake para autenticar ambas as partes de uma transação. Esses processos aplicam algoritmos de criptografia e realizam a troca de chaves para garantir transferências de dados seguras. No TLS fingerprinting, analisa-se o processo de handshake, avaliando como os clientes interagem com os servidores e obtendo informações úteis sobre o dispositivo e o software do usuário.
  • Canvas fingerprinting: nessa técnica são utilizados elementos do HTML5 canvas para analisar o comportamento do usuário. Esse tipo de análise é especialmente valioso porque fornece informações sobre as características do dispositivo, como a placa gráfica, os drivers e a GPU dos visitantes do site. As ferramentas que utilizam essa técnica avaliam como o navegador renderiza a imagem e o texto sobreposto. Cada dispositivo representa as imagens de maneira diferente, dependendo de sua configuração (drivers) e de seus componentes (hardware). Por exemplo, durante a renderização é exibida uma imagem de teste que aparece sutilmente diferente para cada usuário. Ao final desse processo, é gerado um hash único para cada tipo de usuário.
  • WebGL fingerprinting: o WebGL fingerprinting utiliza a biblioteca de gráficos Web para analisar os perfis dos usuários. Para explorar a interação com o WebGL, são usados scripts que geram imagens 3D dentro dos navegadores dos usuários, as quais não ficam visíveis na tela. Assim, as ferramentas que empregam essa técnica monitoram o processo de renderização e coletam dados sobre os gráficos e o hardware de processamento do usuário. O funcionamento é bastante semelhante ao canvas fingerprinting, com a diferença de que, nesse caso, é analisada a forma como os dispositivos executam as instruções WebGL, que variam de acordo com a GPU, os drivers gráficos e os sistemas operacionais.
  • Media device fingerprinting: os dispositivos multimídia conectados a um computador do usuário são outra técnica utilizada para identificar de forma única um dispositivo, como fones de ouvido, placas de vídeo, placas de áudio, câmeras e reprodutores multimídia externos. Para que essas informações possam ser acessadas, o usuário precisa conceder permissão de acesso aos dispositivos antes que os dados sejam coletados e transformados em um hash único, motivo pelo qual essa técnica é menos comum. Um exemplo prático é quando o usuário participa de uma videoconferência e recebe a solicitação de permissão para acessar o microfone e/ou a câmera.
  • Mobile device fingerprinting: uma parte fundamental para acessar, visualizar ou gerar conteúdo e realizar diversas atividades na Internet por meio de dispositivos móveis (smartphones ou tablets) é o uso dos navegadores, que são aplicações otimizadas para exibir conteúdo web em telas menores em comparação com os computadores de mesa. O uso do e-mail nesses dispositivos também é uma forma de coletar informações e garantir a existência de conexões remotas. Assim como nos desktops, as informações obtidas por essa técnica se baseiam principalmente nos modelos dos dispositivos móveis, nas versões de Android ou iOS, na resolução de tela, nos aplicativos de navegação, nos dados da bateria e na configuração de rede. Como resultado, é criado um identificador único baseado nos atributos inerentes ao dispositivo.
  • Behavior tracking: monitorar o comportamento dos usuários por meio de como movem o cursor, a forma como digitam e navegam pela web são elementos que variam de pessoa para pessoa. Por exemplo, alguém pode se interessar por temas de ecologia e, por meio do marketing digital, o navegador passa a mostrar sugestões de notícias relacionadas a esse assunto. Nesse caso, o tempo dedicado a ler, assistir ou ouvir o conteúdo será diferente, pois os gostos e interesses são totalmente individuais. Assim como nas outras técnicas, também é gerado um identificador único. Um ponto importante a destacar é que essa técnica atualmente é a mais utilizada para promover publicidade ou conteúdos personalizados, e vem sendo potencializada pelo uso da inteligência artificial.

Boas práticas para reduzir o browser fingerprinting em qualquer dispositivo

É importante destacar que essa impressão digital única (hash) não pode ser totalmente eliminada, mas pode ser limitada. Como vimos, qualquer comportamento ou característica inerente ao dispositivo ou ao usuário gera um identificador único (hash), o que pode representar um problema para a privacidade. No entanto, existem ferramentas e boas práticas que ajudam a controlar o acesso a essas informações.

  • Uma das principais ferramentas é o uso de uma VPN (Virtual Private Network ou rede privada virtual). Essa tecnologia utiliza a Internet para conectar o usuário a uma localização específica e, assim, permitir o acesso a determinados serviços. Essa conexão pode ocorrer de várias maneiras, mas geralmente utiliza a criptografia como mecanismo para proteger a comunicação entre o usuário e o servidor. Embora não garanta o anonimato total, evita, por exemplo, que o serviço de destino ao qual se está acessando conheça o IP real do usuário, já que verá apenas o IP do servidor VPN.
  • Bloqueadores de anúncios e rastreadores são outras ferramentas que podem ser usadas para limitar o acesso às informações do dispositivo. Eles podem ser instalados na seção "Extensões" de navegadores como Google Chrome e derivados, enquanto no Firefox estão disponíveis em "Complementos e temas". Já o navegador Brave traz essas funcionalidades integradas.
  • Desabilitar o uso de JavaScript é outra boa prática que pode ser adotada. Existem extensões/complementos, como o NoScript, que podem ser instalados nos navegadores mais populares.
  • Para desenvolvedores web, recomenda-se incluir a opção de aceitar ou negar todas as permissões de privacidade nos produtos ou serviços oferecidos, deixando essa escolha a critério do usuário. É importante também ler os "Termos e Condições", incluindo as políticas de privacidade de cada site.
  • Como bônus, para verificar se um navegador é único no mundo, existem plataformas na Internet que permitem essa análise, como o Am I Unique?
cookies-navegador-fingerprinting-amiunique
Resultados de busca no Am I Unique.

Conclusão

É importante considerar que adotar algumas dessas medidas pode modificar ou até impedir o acesso a determinados sites, sendo necessário equilibrar o nível de segurança e privacidade desejado com a comodidade e a facilidade de navegação na Internet. A combinação de ferramentas e boas práticas ajuda a limitar o acesso a certas informações.

Por isso, é fundamental ter senso de responsabilidade ao navegar na web. A conscientização sobre esses temas permite, ao menos, maior controle sobre o que se compartilha e o que se mantém privado. Vale lembrar que privacidade e segurança absolutas não existem, a menos que se viva em uma ilha, completamente desconectado de qualquer tecnologia.