Favicons dos sites podem identificar utilizadores mesmo com ad-blockers e VPNs

Um investigador explorou o uso dos favicons dos sites para transformá-los em "supercookies" que permitem identificar visitantes, mesmo quando estão a usar VPN ou ad-blockers.

Os favicons são os pequenos icons que os browsers apresentam para cada site, e que facilitam a vida aos utilizadores quando têm que identificar uma tab no meio de dezenas. São algo tão comum que nem sequer se pensa nisso... a não ser quando alguém alerta para o potencial de abuso que representam, e que pode por em causa a privacidade dos visitantes em qualquer site na web.

Um investigador revelou uma técnica que utiliza os favicons para individualizar utilizadores e que, surpreendentemente, é capaz de funcionar até quando os utilizadores usam ferramentas de ad-blocking e anti-tracking, ou até mesmo VPNs. A única condicionante é que quanto maior for o número de pessoas a individualizar, mais tempo é necessário (pois é preciso redireccionar os utilizadores por múltiplas páginas, onde cada uma apresenta um favicon diferente, e onde a resposta do browser - se já tem aquele favicon em cache ou não - denuncia a sua identidade. Mas, é algo que não se revela demasiado penalizador, com a individualização da pessoa num universo de 16 milhões de utilizadores a demorar cerca de 2 segundos; e 3 segundos a serem suficientes para individualizar alguém num universo de 4.3 mil milhões de pessoas.

Todos os browsers mais populares são vulneráveis a esta técnica em Windows e macOS, incluindo o Chrome, Safari, Edge e Firefox - com o Brave a ser a única excepção indicada. Refira-se ainda que este método resiste também à utilização do modo incógnito, e até à limpeza de cookies, pois os browsers guardam os favicons numa cache separada.