){kind=link}
Uma vulnerabilidade identificada como CVE-2026-6770 permitia que sites rastreassem usuários do Firefox e do Tor Browser mesmo em sessões de navegação privada. A Mozilla corrigiu o problema no Firefox 150, no ESR 140.10.0 e em atualizações do Thunderbird lançadas em 21 de abril de 2026. O Tor Project respondeu com o lançamento do Tor Browser 15.0.10.
A falha estava na forma como o Firefox implementava a API indexedDB.databases(), que retorna metadados sobre bancos de dados armazenados localmente pelo navegador. O IndexedDB é uma API padrão usada por aplicações web para armazenar dados no lado do cliente, como cache, estado de sessão e suporte offline.
smart_display
Nossos vídeos em destaque
No modo de navegação privada, o Firefox substituía os nomes desses bancos por identificadores universais únicos (UUID) gerados internamente. Esses UUIDs ficavam armazenados em uma tabela hash global, compartilhada entre todas as origens e mantida ativa durante toda a execução do processo do navegador.
Os resultados da API eram devolvidos na ordem de iteração interna dessa tabela, sem qualquer ordenação neutra aplicada antes. Isso fazia da sequência retornada uma impressão digital determinística e estável do processo do Firefox.
Sites conseguiam vincular atividade entre origens sem usar cookies
Um site conseguia criar um conjunto de bancos de dados no IndexedDB e observar a ordem devolvida pela API. Essa sequência era suficiente para identificar a mesma instância do navegador em visitas subsequentes.
)
Como a tabela hash era compartilhada entre origens, dois sites completamente diferentes podiam obter o mesmo identificador de forma independente. Com isso, conseguiam vincular a atividade do usuário entre domínios distintos sem precisar de cookies, localStorage ou qualquer outro mecanismo explícito de rastreamento.
O identificador era derivado diretamente do comportamento interno do navegador. Isso torna a técnica difícil de detectar e bloquear por métodos convencionais. A capacidade de rastreamento também não era trivial. Com 16 bancos de dados controlados, o espaço de permutações possíveis chegava a aproximadamente 44 bits de entropia.
Entropia, nesse contexto, mede a quantidade de informação carregada pelo sinal. Isso é suficiente para identificar instâncias individuais do navegador com alta precisão.
)
Identificador persistia após fechar janelas privadas
No Firefox, o identificador continuava ativo mesmo depois que todas as janelas privadas eram fechadas. Bastava o processo do navegador permanecer em execução. Isso significa que uma visita posterior em uma janela privada aparentemente nova poderia ser vinculada a uma sessão anterior.
No Tor Browser, a situação era mais grave. O recurso “New Identity” foi criado para reinicializar completamente a sessão, apagando cookies e histórico e estabelecendo novos circuitos Tor.
Como os UUIDs persistiam durante toda a execução do processo, o recurso se tornava ineficaz contra essa técnica. Sites conseguiam vincular sessões que deveriam ser completamente isoladas, contrariando uma garantia central do Tor Browser.
)
A vulnerabilidade não exige interação do usuário e não depende de nenhuma falha de configuração. O comportamento era inerente à implementação do IndexedDB no Gecko, o motor de renderização por trás do Firefox e do Tor Browser. Isso significa que todos os navegadores baseados no Gecko eram potencialmente afetados.
Correção elimina a entropia sem comprometer a API
A correção adotada é direta. Bastava ordenar os resultados em ordem canônica, como ordenação lexicográfica, antes de devolvê-los à página. Isso preserva a utilidade da API para desenvolvedores e elimina a entropia derivada da estrutura interna de armazenamento. Embaralhar a ordem a cada chamada seria outra opção, mas a ordenação é mais simples e previsível para quem desenvolve aplicações web.
O caso serve de alerta para um padrão menos óbvio de vulnerabilidades de privacidade. Não é necessário expor dados diretamente identificáveis para criar um vetor de rastreamento. Às vezes, basta que um detalhe de implementação interna seja determinístico e compartilhado entre contextos que deveriam ser isolados.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.