Microsoft desabilita supercookies no MSN; vulnerabilidade está em outros sites

Em resposta à pesquisa que detalhava as técnicas de rastreamento de usuários, a Microsoft eliminou o controverso “supercookies” que estava presente no MSN.com.

Diferentemente dos cookies normais, ou mesmo os novos cookies Flash, a última geração de tecnologias de rastreamento não pode ser desabilitada nos navegadores de usuários, mesmo com add-ons privados. Isso foi revelado no último mês, em dois relatórios de pesquisa separados.

O primeiro relatório “Tracking the Trackers: Microsoft Advertising (cache and ETag supercookies)”, escrito pelo estudante da Stanford University Jonathan R. Mayer, trouxe à tona a notícia das técnicas persistentes de cookies que são usadas pela Microsoft em seu site MSN.com.

Em resposta a esse relatório – lançado em julho –, a Microsoft divulgou que havia investigado as afirmações de Mayer, identificado o código em questão e o desativado.

Curiosamente, o uso do ETag supercookies que Mayer descobriu não é limitado apenas à Microsoft. De fato, um grupo separado de pesquisa descobriu técnicas similares em sua em vários sites, como detalhou o relatório “Flash Cookies and Privacy II: Now with HTML5 and ETag Respawning”, lançado no último mês.

O coautor do relatório, Ashkan Soltani um pesquisador independente disse em uma postagem de blog que a equipe descobriu as técnicas de rastreamento quando recriava seu estudo de 2009, “que constatou que os sites estavam contornando a escolha do usuário e deliberadamente restauravam os cookies HTTP previamente deletados, usando armazenamento fora do controle do navegador (uma prática apelidada de ‘respawning’)”. A técnica é frequentemente usada por anunciantes online e suas afiliadas para rastrear o comportamento online.

Durante o curso da nova pesquisa, a equipe identificou 5,6 mil cookies HTTP usado em sites populares, 88% deles provenientes de terceiros. Os cookies executados pelo Google estão presentes em 97 dos cem principais sites – incluindo sites do governo – e os cookies Flash estão presentes em 37 deles. Além disso, 17 sites usam HTML5, com sete também usando “armazenamento local de HTML5 e cookies HTTP com valores correspondentes”, afirmou Soltani.

“Descobrimos dois sites que estão repassando cookies, incluindo um – hulu.com – onde tanto cookies Flash quanto cache eram empregados para tornar a identificação mais persistentes”, afirmou. “O método utilizado cookie cache ETags  é capaz de rastrear até mesmo onde os cookies bloqueados pelo usuário e ‘Private Browsing Mode’ está habilitado”.

O que é exatamente o ETags? De acordo com o relatório “ETags são sinais apresentados pelo navegador do usuário para um servidor de rede remoto, a fim de determinar se um recurso (como uma imagem) mudou desde a última vez em que foi obtido. Em vez de simplesmente usá-lo para controle de versão, encontramos o KISSmetrics retornando ETag que combinados de forma confiável aos valores originais em sua cookie de usuário ‘km_ai’”.

Como os usuários param os supercookies? Enquanto a habilidade do not track nos navegadores atraiu muita atenção ultimamente como uma forma de bloquear o rastreamento persistente, o supercookie não pode ser interrompido por ele. Assim, o bloqueio de supercookies pode exigir algum tipo de legislação de privacidade que obriga as empresas dos EUA a respeitar as intenções “do not track” bem como a divulgar suas técnicas de rastreamento.

(Tradução: Alba Milena, especial para o IT Web | Revisão: Thaís Sabatini)

ð        Você tem Twitter? Então, siga http://twitter.com/IT_Web e fique por dentro das principais notícias de TI e telecom.