Firefox Under Fire: recurso experimental do Firefox é uma falha de segurança?

Com o lançamento da versão 128 do Firefox, a Mozilla viu-se no meio de uma [outra] controvérsia. Tudo por conta do PPA ( Privacy-Preserving Attribution), recurso experimental cuja função é projetado para ajudar os sites a entender como seus anúncios funcionam sem coletar dados sobre pessoas individuais.

Ao oferecer aos sites uma alternativa não invasiva ao rastreamento entre sites, a Fundação espera reduzir significativamente na prática alheia de fuçar os hábitos internéticos das pessoas.

Com o PPA os anunciantes poderão checar se determinada publicidade é efetiva ou não. Por exemplo: quantas pessoas viram um anúncio e interagiram como mesmo, como fazer uma compra. Ele conta quantas pessoas fizeram isso.

Embora o Firefox inclua muitas proteções de privacidade que tornam mais difícil para os sites rastrear o internauta, há muitas formas de contorná-las.

Funciona assim: quando um site detecta que um usuário clicou em um anúncio, ele pede um relatório ao navegador, que irá criptografá-lo e, em seguida, enviá-lo anonimamente para um “agregador” (não o site) usando o protocolo DAP ( Distributed Aggregation Protocol for Privacy Preserving Measurement).

Depois disso, o relatório é combinado com outros relatórios semelhantes pelo serviço de agregação, e o site recebe relatórios periódicos com uma coleção desses dados.

Mesmo que a Mozilla tenha mencionado que o PPA seria ativado por padrão no Firefox 128, ela não o fez claramente, para um público mais amplo.

O bjetivo dessa API era estudar a viabilidade de tais implementações, para que um dia, as redes de anúncios existentes pudessem começar a se afastar do rastreamento individual invasivo.

Na era de hoje, a publicidade tornou-se um mal necessário para uma organização focada na Internet permanecer no negócio, e o que a Mozilla parece estar tentando é trabalhar para mudar esse cenário.

Pois o padrão hoje é coletar dados do usuário de qualquer maneira possível, sem considerar seu direito sobre a privacidade e autoridade sobre seus dados, não importando quais questões são importantes para aquele.

Eu acho e há sim muita controvérsia em torno do Privacy-Preserving Attribution o tal PPA no Firefox 128, e levanta preocupações válidas sobre segurança e privacidade, mesmo com suas intenções benignas. O papo para acalmar a galera é sempre esse. Mas o PPA visa substituir, note bem o Sr.,métodos invasivos de rastreamento por uma alternativa anônima que utiliza o DAP para criptografar e anonimizar dados de interação com anúncios, agregando-os antes de enviá-los aos sites. Papo muito parecido com o da guia anônima do Google,mas depois vazou geral que nunca foi bem assim. Agora é o tipo da coisa: apesar das proteções robustas do Firefox, há uma apreensão significativa de que qualquer nova forma de coleta de dados, mesmo que anônima, possa ser explorada por atores maliciosos para comprometer a privacidade dos usuários. Eu mesmo deduzo que a ativação desse recurso por padrão, sem ampla divulgação e consentimento informado, pode abrir precedentes perigosos, aumentando a tensão entre as necessidades comerciais de análise de eficácia de anúncios e o direito dos usuários à privacidade absoluta, condição que não tem como ocorrer de fato. E logo no tempo atual onde a publicidade é a lei como ordem do dia para a sustentabilidade econômica, a Mozilla tenta encontrar um equilíbrio, mas deve garantir transparência total e medidas de segurança rígidas para evitar que o PPA se torne uma vulnerabilidade explorável. Mas sempre depende… Note bem você @acvsilva, porque hackers poderiam explorar o Privacy-Preserving Attribution o tal PPA do Firefox de várias maneiras: interceptar dados criptografados para ataques de man-in-the-middle muito conhecido como MITM, e analisarem padrões de tráfego para correlacionar comportamentos a indivíduos, comprometendo o agregador de dados para acessar informações agregadas, explorando falhas na implementação do PPA para executar código arbitrário, utilizando ataques de engenharia social para manipular dados antes da criptografia e explorando vulnerabilidades no Distributed Aggregation Protocol DAP. Ao meu ver da coisa toda,essas possibilidades existem a necessidade de auditorias de segurança rigorosas e transparência na implementação do PPA para evitar novas vulnerabilidades. Mas ainda há o lance do uso de exploits de Implementação e como qualquer novo recurso, o PPA pode conter bugs ou vulnerabilidades não descobertas. Hackers poderiam explorar essas falhas para executar código arbitrário, escalar privilégios ou exfiltrar dados do navegador. Esse tipo de coisa ocorre o tempo todo,por isso recomendo: limpe o histórico total do browser, também sempre feche todas as abas de pesquisa ao fim do dia, medidas estas que pode salvar você de hackers de rua, tipo esses que fazem cursos via YouTube,mas sabemos bem que todos estão legalmente hackeados, eticamente, digamos assim,pelas bigtechs. Narrativas,as grandes empresas sempre são,a galera corre para um lado, fugindo de um browser,mas uma bigtech já os espera na chegada… É a vida nesse atual confinamento global. :earth_americas::earth_africa::earth_asia:

1 curtida