Falha no Firefox permite rastreio de utilizadores

Investigadores identificaram uma vulnerabilidade no Firefox que pode ser explorada para criar um identificador persistente de utilizadores, mesmo quando utilizam o modo de navegação privada. A falha, catalogada como CVE-2026-6770, também afeta o Tor Browser, baseado no mesmo motor.

O problema está relacionado com a API IndexedDB, utilizada para armazenamento de dados estruturados no lado do cliente. No Firefox, os nomes das bases de dados são geridos através de identificadores internos (UUID), sendo devolvidos aos sites numa ordem consistente enquanto o processo do navegador se mantém ativo.

Esta característica permite que diferentes sites observem a mesma sequência de bases de dados e a utilizem como um identificador indireto. Desta forma, torna-se possível correlacionar a atividade de um utilizador entre domínios distintos, sem recurso a cookies ou outros mecanismos tradicionais de tracking.

Segundo os investigadores, este identificador mantém-se ativo mesmo após recarregamentos de página ou abertura de novas sessões privadas, sendo apenas eliminado quando o navegador é completamente reiniciado. Este comportamento compromete o isolamento esperado no modo privado.

No caso do Tor Browser, o impacto é mais significativo. A funcionalidade New Identity, concebida para impedir a correlação de sessões ao limpar histórico, cookies e ligações ativas, pode ser contornada. De acordo com os investigadores, o identificador estável permite associar sessões que deveriam estar isoladas dentro do mesmo processo do navegador.

A Mozilla classificou a vulnerabilidade como de gravidade média e corrigiu o problema com o lançamento do Firefox 150, descrevendo-o de forma genérica como uma falha no componente de armazenamento IndexedDB.

O Tor Project também disponibilizou a correção através da versão 15.0.10 do Tor Browser, lançada na semana anterior, garantindo a mitigação do problema para os utilizadores da sua plataforma.

Este caso evidencia limitações nos mecanismos de privacidade baseados apenas no isolamento de sessão, sublinhando a necessidade de controlo mais rigoroso sobre APIs de armazenamento local em browsers modernos.