Descrição de chapéu Financial Times

Software de privacidade da Apple permitia que usuários fossem rastreados, diz o Google

Falhas foram encontradas ironicamente em um recurso contra rastreamento

Financial Times

Pesquisadores do Google deram detalhes de várias falhas de segurança no navegador rival da Apple, o Safari, que permitiram rastrear o comportamento de navegação dos usuários, apesar de a ferramenta citada ter sido projetada especificamente para proteger sua privacidade.

As falhas, encontradas ironicamente em um recurso contra rastreamento conhecido como Prevenção de Rastreamento Inteligente, foram divulgadas pela Google à Apple pela primeira vez em agosto do ano passado.

Em um artigo que será publicado em breve pelo "Financial Times", os pesquisadores da equipe de nuvem do Google identificaram cinco tipos diferentes de ataques que poderiam resultar dessas vulnerabilidades, permitindo que terceiros obtivessem "informações privadas confidenciais sobre os hábitos de navegação do usuário".

"Você não esperaria que as tecnologias para melhorar a privacidade trouxessem riscos à privacidade", disse Lukasz Olejnik, pesquisador de segurança independente que viu o artigo. "Se exploradas ou usadas, [essas vulnerabilidades] permitiriam o rastreamento não autorizado e incontrolável do usuário.

"Embora hoje em dia essas vulnerabilidades de privacidade sejam muito raras, problemas nos mecanismos projetados para melhorar a privacidade são inesperados e altamente contraintuitivos."

Google informou à Apple em agosto do ano passado que encontrou falhas em um recurso contra rastreamento - Mike Segar/Reuters

A Apple lançou o Intelligent Tracking Prevention (ITP) em 2017, com o objetivo específico de impedir que os usuários do navegador Safari fossem rastreados na web por cookies de anunciantes e de terceiros.

A ferramenta é vista pelos defensores da privacidade como uma tecnologia pioneira de aprimoramento da privacidade para navegadores da Web, e forçou os concorrentes, incluindo o navegador Chrome do Google, a aumentar seus próprios controles de rastreamento.

"Diferentemente de outras abordagens (...) o ITP executa seus algoritmos no dispositivo, o que permite detectar o comportamento [do usuário] e 'aprender' sobre ele automaticamente", disse Olejnik. "Mas esse aspecto específico ligado ao usuário também é parcialmente o motivo pelo qual o risco de vazamento de informações era possível."

Segundo os pesquisadores do Google, as vulnerabilidades deixaram os dados pessoais expostos "porque a lista do ITP armazena implicitamente informações sobre os sites visitados pelo usuário".

Os pesquisadores também identificaram uma falha que permitia aos hackers "criar uma impressão digital persistente que acompanhará o usuário na web", enquanto outros conseguiram revelar o que alguns usuários estavam pesquisando nas páginas de mecanismos de pesquisa.

A Apple abordou as falhas de segurança, sem revelar detalhes, em dezembro, quando o engenheiro de privacidade John Wilander publicou uma postagem em blog sobre atualizações de segurança em seu navegador. Nela, agradeceu aos pesquisadores do Google "por nos enviar um relatório em que eles exploram tanto a capacidade de detectar quando o conteúdo da Web é tratado de maneira diferente, pela prevenção de rastreamento, quanto as coisas ruins que são possíveis com tal detecção.

"Sua prática de divulgação responsável nos permitiu projetar e testar as alterações detalhadas acima", acrescentou.

A Apple não confirmou imediatamente se as falhas de segurança no Safari foram resolvidas.

Esta foi a segunda vez no último ano que pesquisadores do Google revelaram falhas de segurança no software da Apple. Em agosto, a empresa de pesquisas na internet também listou uma série de sites que estavam produzindo ataques direcionados a iPhones pertencentes à minoria uigur na China.

O Google confirmou que foi o autor do artigo e disse que a Apple reconheceu sua ajuda na identificação desses problemas no ano passado.

Tradução de Luiz Roberto Mendes Gonçalves

Tópicos relacionados

Comentários

Os comentários não representam a opinião do jornal; a responsabilidade é do autor da mensagem.