Um novo vetor de fingerprinting demonstrado por pesquisadores mostra que listas de filtros específicas de país, usadas por adblockers, podem expor a localização ou preferência de idioma do usuário mesmo quando este utiliza VPN ou Tor.
Descoberta e escopo
A pesquisa, reportada pelo site Cyber Security News e referenciada ao projeto Adbleed (Melvin), demonstra um método simples e eficaz para identificar quais listas de filtros regionais (por exemplo, EasyList Germany, Liste FR, listas para Brasil etc.) estão ativadas no navegador de uma vítima. O método testa domínios bloqueados por essas listas e mede tempos de resposta para inferir se determinado filtro está ativo.
Vetor e técnica
A técnica usa medições de tempo em JavaScript ao tentar carregar pequenos recursos (imagens) hospedados em domínios que constam nas listas regionais. Quando um adblocker bloqueia o recurso, a tentativa de requisição falha quase instantaneamente — tipicamente em menos de 5 ms. Sem bloqueio, a requisição percorre a pilha de rede e as resoluções DNS normalmente adicionam latência — tipicamente entre 50 e 500 ms, segundo o relatório.
Evidência prática e limiares
O PoC descrito testa cerca de 30 domínios por lista regional. Se 20 ou mais desses domínios retornarem um resultado considerado "bloqueado" (com tempo abaixo de ~30 ms), o sistema identifica a lista regional correspondente como habilitada no navegador da vítima. Os autores afirmam que o sinal funciona através de VPNs, Tor Browser e proxies, pois depende do comportamento do cliente e não do IP de origem.
Impacto e alcance
Combinada a sinais adicionais de fingerprinting — fuso horário, layout de teclado, resolução de tela, etc. — a presença de uma lista regional ativa reduz substancialmente o espaço de busca do perfil do usuário, podendo permitir que um atacante agrupe usuários por país ou idioma mesmo quando mascaram o IP. O relatório ressalta que o método não exige permissões especiais, cookies ou cooperação do servidor; basta JavaScript no cliente.
Mitigações e trade-offs
- Desabilitar listas regionais: reduz o sinal mas deixa o usuário mais sujeito a anúncios locais e rastreadores.
- Ativar listas de regiões aleatórias como camuflagem: cria ruído, porém aumenta consumo de regras e pode degradar a eficácia do bloqueio local.
- Parar de usar adblockers: elimina o vetor, mas tem custos óbvios de privacidade e usabilidade.
Evidências, limites e o que falta
O relato apresenta um PoC funcional e parâmetros de teste (30 domínios por lista, limiar de ~20 domínios bloqueados). Ainda assim, o artigo não traz métricas amplas de taxa de falsos positivos/negativos em condições de mundo real, nem dados sobre quantos usuários ativam listas regionais por país. Também faltam detalhes sobre variações entre implementações de adblockers (uBlock Origin, AdBlock Plus, Brave) e efeitos de atualizações nas listas.
Observações finais
Profissionais de segurança e privacidade devem considerar este vetor ao avaliar o grau de anonimato oferecido por VPNs e ferramentas de proxy: a superfície de exposição não se limita ao endereço IP. Para auditorias internas, recomenda-se testar sites corporativos e páginas sensíveis contra PoCs semelhantes e incluir verificação de configuração de bloqueadores no inventário de vetores de fingerprinting.
Fonte: Cyber Security News (relato do PoC Adbleed). Se houver interesse, o PoC citado pelos autores (melvin.ovh/adbleed) contém mais detalhes técnicos.