{"id":568350,"date":"2026-04-27T18:30:00","date_gmt":"2026-04-27T21:30:00","guid":{"rendered":"https:\/\/www.portaltela.com\/noticias\/2026\/04\/27\/firefox-corrige-falha-que-rastreava-usuarios-no-modo-anonimo\/"},"modified":"2026-04-27T18:30:00","modified_gmt":"2026-04-27T21:30:00","slug":"firefox-corrige-falha-que-rastreava-usuarios-no-modo-anonimo","status":"publish","type":"post","link":"https:\/\/www.portaltela.com\/noticias\/ciencia\/2026\/04\/27\/firefox-corrige-falha-que-rastreava-usuarios-no-modo-anonimo\/","title":{"rendered":"Firefox corrige falha que rastreava usu\u00e1rios no modo an\u00f4nimo"},"content":{"rendered":"<p>A Mozilla corrigiu uma falha de privacidade que permitia rastrear usu\u00e1rios mesmo em navega\u00e7\u00e3o privada. A vulnerabilidade, identificada como CVE-2026-6770, impactava Firefox e Tor Browser, com efeitos persistentes ao fim de sess\u00f5es. A corre\u00e7\u00e3o chegou em 21 de abril de 2026.<\/p>\n<p>O problema estava ligado ao IndexedDB, uma API que armazena dados localmente. Em modo privado, o navegador expunha identificadores est\u00e1veis gerados internamente, permitindo rastreamento entre abas e origens sem cookies. A falha tornou poss\u00edvel vincular visitas subsequentes.<\/p>\n<p>Sites poderiam observar a ordem devolvida pela API para criar uma impress\u00e3o digital determin\u00edstica do navegador. O identificador era mantido ativo durante toda a sess\u00e3o do navegador, mesmo ap\u00f3s fechar janelas privadas.<\/p>\n<h3>O que mudou e quem envolvido<\/h3>\n<p>A Mozilla divulgou as corre\u00e7\u00f5es para Firefox 150 e ESR 140.10.0, al\u00e9m de atualiza\u00e7\u00f5es do Thunderbird, todas lan\u00e7adas em 21 de abril de 2026. O Tor Project respondeu com o Tor Browser 15.0.10 para conter o rastreamento.<\/p>\n<h3>Detalhes t\u00e9cnicos e impacto<\/h3>\n<p>A falha ocorria por causa da forma como o Gecko implementa a API indexedDB.databases(). A tabela hash global armazenava UUIDs, compartilhados entre origens, gerando uma sequ\u00eancia determin\u00edstica. A t\u00e9cnica n\u00e3o exigia credenciais.<\/p>\n<h3>Corre\u00e7\u00e3o aplicada<\/h3>\n<p>A solu\u00e7\u00e3o consistiu em ordenar os resultados da API em ordem can\u00f4nica antes de devolv\u00ea-los \u00e0 p\u00e1gina. Assim, permanece a utilidade da API sem manter a entropia determin\u00edstica interna. A medida evita o fingerprinting descrito sem alterar a fun\u00e7\u00e3o b\u00e1sica.<\/p>\n<h3>O que isso significa para usu\u00e1rios<\/h3>\n<p>Usu\u00e1rios que n\u00e3o atualizaram permanecem vulner\u00e1veis ao fingerprinting descrito. A corre\u00e7\u00e3o elimina a entropia usada pelos atacantes, preservando a funcionalidade da API para desenvolvedores. N\u00e3o houve necessidade de configura\u00e7\u00e3o ou intera\u00e7\u00e3o do usu\u00e1rio.<\/p>\n","protected":false},"excerpt":{"rendered":"<ul>\n<li>A vulnerabilidade CVE-2026-6770 permitia rastrear usu\u00e1rios do Firefox e do Tor Browser mesmo em sess\u00f5es de navega\u00e7\u00e3o privada; a corre\u00e7\u00e3o chegou no Firefox 150, ESR 140.10.0 e em atualiza\u00e7\u00f5es do Thunderbird em 21 de abril de 2026, com o Tor Browser 15.0.10 lan\u00e7ado em seguida.<\/li>\n<li>O problema estava na API indexedDB.databases(), que devolvia metadados de bancos de dados locais e criava identificadores universais \u00fanicos (UUID) armazenados em uma tabela hash compartilhada, causando fingerprint determin\u00edstico.<\/li>\n<li>Sites conseguiam vincular atividade entre origens ao observar a ordem de retorno dos dados da API, sem depender de cookies ou login.<\/li>\n<li>Os UUIDs persistiam durante toda a execu\u00e7\u00e3o do processo do navegador, permanecendo mesmo ap\u00f3s o fechamento de janelas privadas; no Tor Browser, o recurso New Identity ficava ineficaz.<\/li>\n<li>A corre\u00e7\u00e3o adotada foi ordenar os resultados em ordem can\u00f4nica (por exemplo, lexicogr\u00e1fica) antes de retorn\u00e1-los, eliminando a entropia sem comprometer a API.<\/li>\n<\/ul>\n","protected":false},"author":15,"featured_media":568409,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"summary":"Vulnerabilidade no IndexedDB permitia fingerprinting em sess\u00f5es privadas do Firefox e do Tor Browser; corre\u00e7\u00e3o ordena resultados para eliminar entropia e manter o isolamento","footnotes":""},"categories":[296,1],"tags":[104,143,169,86,100,189],"class_list":["post-568350","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciencia","category-noticias","tag-apps","tag-cien","tag-cientistas","tag-internet","tag-noticia","tag-tecnologia"],"_links":{"self":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/568350","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/comments?post=568350"}],"version-history":[{"count":0,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/568350\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media\/568409"}],"wp:attachment":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media?parent=568350"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/categories?post=568350"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/tags?post=568350"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}