Google Chrome é o navegador mais utilizado no mundo, mas uma nova análise abrangente revela que ele oferece aos usuários quase nenhuma proteção contra fingerprinting e vazamentos de dados que expõem silenciosamente sua identidade a sites e rastreadores. Publicado em 14 de abril de 2026, a pesquisa mostra como a navegação cotidiana no Chrome entrega informações do dispositivo e sinais de hardware sem que os usuários cliquem ou consentam com nada.
Escala da exposição e ausência de defesa nativa
A análise cobre pelo menos trinta técnicas distintas de fingerprinting e mais de vinte métodos de armazenamento e rastreamento do lado do cliente atualmente ativos no Chrome. Estas não são vulnerabilidades teóricas, mas técnicas reais implantadas em milhões de sites que constroem perfis únicos de usuários sem interação visível.
O que torna isso especialmente alarmante é a ausência completa de defesa nativa do Google. Fingerprinting de canvas, exposição do renderizador WebGL, análise de áudio, enumeração de síntese de fala e mapeamento de layout de teclado funcionam totalmente no Chrome com zero mitigação. O Chrome é o único entre os navegadores principais a oferecer a seus bilhões de usuários nenhuma proteção nativa contra fingerprinting.
O Privacy Sandbox do Google foi descontinuado em abril de 2025 sem nenhuma proteção específica contra fingerprinting, e a proposta de Privacy Budget, que teria limitado a quantidade de dados identificáveis que um site poderia coletar, foi abandonada inteiramente.
Vazamentos de cabeçalhos e identificação silenciosa
Enquanto o fingerprinting probe ativamente as APIs do navegador, uma classe separada de vulnerabilidades opera através de cabeçalhos HTTP padrão. Um vazamento importante envolve o rastreamento ETag, exposto publicamente no escândalo KISSmetrics de 2011. Quando o navegador visita um servidor, recebe um valor que parece um identificador de cache rotineiro, mas pode codificar secretamente um ID de usuário único.
Em cada visita de retorno, o navegador envia automaticamente esse valor de volta, confirmando sua identidade sem qualquer cookie ou JavaScript. O particionamento de cache do Chrome bloqueia o rastreamento ETag entre sites, mas o rastreamento ETag de primeira parte permanece totalmente funcional hoje.
Outro vetor crítico é o CVE-2025-4664, uma falha no Chrome que permitia aos atacantes definir uma política de referrer fraca via cabeçalhos Link em solicitações de sub-recurso. Isso fazia com que o Chrome encaminhasse URLs completas da página, incluindo tokens de autenticação, para servidores de terceiros. A falha foi explorada ativamente antes de ser corrigida no Chrome 136.
Recomendações para proteção de dados
Para usuários preocupados com sua exposição, a pesquisa aponta recomendações práticas. Trocar para um navegador com proteções nativas de fingerprinting, como o Brave, que injeta ruído calibrado nas APIs de fingerprinting, ou o Firefox com privacy.resistFingerprinting habilitado, fornece a defesa mais direta.
Usar uma extensão de privacidade confiável com bloqueio em nível de rede pode interceptar scripts de rastreamento conhecidos e remover cabeçalhos de rastreamento de saída. Manter o Chrome atualizado é essencial, dado falhas exploradas como o CVE-2025-4664. Limpar regularmente localStorage, IndexedDB e dados em cache limita identificadores de rastreamento armazenados, embora não possa parar o rastreamento baseado em fingerprinting que não requer armazenamento.