Firefox corrige falha que rastreava usuários mesmo no modo anônimo

· Fonte: TecMundo
Firefox corrige falha que rastreava usuários mesmo no modo anônimo

Uma vulnerabilidade identificada como CVE-2026-6770 permitia que sites rastreassem usuários do Firefox e do Tor Browser mesmo em sessões de navegação privada. A Mozilla corrigiu o problema no Firefox 150, no ESR 140.10.0 e em atualizações do Thunderbird lançadas em 21 de abril de 2026. O Tor Project respondeu com o lançamento do Tor Browser 15.0.10.

A falha estava na forma como o Firefox implementava a API indexedDB.databases(), que retorna metadados sobre bancos de dados armazenados localmente pelo navegador. O IndexedDB é uma API padrão usada por aplicações web para armazenar dados no lado do cliente, como cache, estado de sessão e suporte offline.

atualizacao-firefox-certificado-raiz-2.jpg
A navegação privada não apaga rastros do processo do navegador. Enquanto o Firefox permanecia aberto, o identificador gerado pela falha seguia ativo mesmo após o fechamento de todas as janelas anônimas.

No modo de navegação privada, o Firefox substituía os nomes desses bancos por identificadores universais únicos (UUID) gerados internamente. Esses UUIDs ficavam armazenados em uma tabela hash global, compartilhada entre todas as origens e mantida ativa durante toda a execução do processo do navegador.

Os resultados da API eram devolvidos na ordem de iteração interna dessa tabela, sem qualquer ordenação neutra aplicada antes. Isso fazia da sequência retornada uma impressão digital determinística e estável do processo do Firefox.

Sites conseguiam vincular atividade entre origens sem usar cookies

Um site conseguia criar um conjunto de bancos de dados no IndexedDB e observar a ordem devolvida pela API. Essa sequência era suficiente para identificar a mesma instância do navegador em visitas subsequentes.

ilustracao-com-cadeados-representando-vazamento-de-dados
A técnica explorada pela CVE-2026-6770 dispensa credenciais ou formulários de login para vincular identidades. A correlação entre sessões era feita diretamente pela ordem de retorno de uma API interna do navegador.

Como a tabela hash era compartilhada entre origens, dois sites completamente diferentes podiam obter o mesmo identificador de forma independente. Com isso, conseguiam vincular a atividade do usuário entre domínios distintos sem precisar de cookies, localStorage ou qualquer outro mecanismo explícito de rastreamento.

O identificador era derivado diretamente do comportamento interno do navegador. Isso torna a técnica difícil de detectar e bloquear por métodos convencionais. A capacidade de rastreamento também não era trivial. Com 16 bancos de dados controlados, o espaço de permutações possíveis chegava a aproximadamente 44 bits de entropia.

Entropia, nesse contexto, mede a quantidade de informação carregada pelo sinal. Isso é suficiente para identificar instâncias individuais do navegador com alta precisão.

seguranca-cadeado-teclado
Todos os navegadores baseados no motor Gecko eram potencialmente vulneráveis. O Firefox é o mais conhecido, mas qualquer fork que herdasse a mesma implementação do IndexedDB carregava o mesmo problema.

Identificador persistia após fechar janelas privadas

No Firefox, o identificador continuava ativo mesmo depois que todas as janelas privadas eram fechadas. Bastava o processo do navegador permanecer em execução. Isso significa que uma visita posterior em uma janela privada aparentemente nova poderia ser vinculada a uma sessão anterior.

No Tor Browser, a situação era mais grave. O recurso "New Identity" foi criado para reinicializar completamente a sessão, apagando cookies e histórico e estabelecendo novos circuitos Tor.

Como os UUIDs persistiam durante toda a execução do processo, o recurso se tornava ineficaz contra essa técnica. Sites conseguiam vincular sessões que deveriam ser completamente isoladas, contrariando uma garantia central do Tor Browser.

golpe-internet5280.jpg
A Mozilla disponibilizou a correção no Firefox 150, no ESR 140.10.0 e em atualizações do Thunderbird, todos lançados em 21 de abril. Usuários que não atualizaram continuam expostos à técnica de fingerprinting descrita na vulnerabilidade.

A vulnerabilidade não exige interação do usuário e não depende de nenhuma falha de configuração. O comportamento era inerente à implementação do IndexedDB no Gecko, o motor de renderização por trás do Firefox e do Tor Browser. Isso significa que todos os navegadores baseados no Gecko eram potencialmente afetados.

Correção elimina a entropia sem comprometer a API

A correção adotada é direta. Bastava ordenar os resultados em ordem canônica, como ordenação lexicográfica, antes de devolvê-los à página. Isso preserva a utilidade da API para desenvolvedores e elimina a entropia derivada da estrutura interna de armazenamento. Embaralhar a ordem a cada chamada seria outra opção, mas a ordenação é mais simples e previsível para quem desenvolve aplicações web.

O caso serve de alerta para um padrão menos óbvio de vulnerabilidades de privacidade. Não é necessário expor dados diretamente identificáveis para criar um vetor de rastreamento. Às vezes, basta que um detalhe de implementação interna seja determinístico e compartilhado entre contextos que deveriam ser isolados.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.