DuckDuckGo, o porta-bandeira da privacidade no espaço do mecanismo de busca, foi pego reunindo visitas ao site por meio de seu aplicativo Android.
Um hacker ético, que atende pelo nome de usuário @cowereth, revisou o problema que foi relatado um ano atrás no Github como um bug. Em seguida, foi escovado para debaixo do tapete devido a vários motivos de sobreposição.
O problema em questão – novamente
DuckDuckGo armazena os favicons (um pequeno ícone de site que aparece na barra de endereço ou nas guias de favoritos) dos sites em um servidor interno diferente hospedado em um subdomínio icons.duckduckgo.com.
Em geral, quando você visita um site, os nomes de host do site visitado chama seu próprio servidor ou verifica o cache do navegador local (o que for mais recente) para buscar o favicon.
No entanto, no navegador Duckduckgo Android, em vez de chamar o favicon do servidor do site visitado ou do cache do navegador (cliente local, por um tempo predeterminado), ele chama seu servidor conforme mencionado anteriormente para solicitar o favicon do site.
Em palavras mais fáceis, ele transfere os dados de navegação do usuário para um de seus servidores sem o consentimento do usuário.
O navegador Android @DuckDuckGo reúne sorrateiramente * TODOS OS DOMÍNIOS * que você está visitando e a única resposta é: “confie em nós, temos uma política de privacidade”. Lembra-me o bom e velho “não seja mau”.
O problema: https://t.co/99AgRxfJn5A (re) resposta, esta manhã: https://t.co/TIThLXvK13
-? Seb? (@cowreth) julho 2, 2020
A razão oficial de DuckDuckGo sobre o problema
DuckDuckGo deixou isso muito comum, citando relatórios de erro baseados na exibição de favicon, sendo um exercício complexo para seu aplicativo de navegador Android.
O objetivo da solicitação que você observou é recuperar o favicon de um site para que ele possa ser exibido em determinados locais dentro do aplicativo ou na página de resultados. Usamos um serviço de favicon interno porque pode ser complicado localizar um favicon para um site. Eles podem ser armazenados em diversos locais e formatos. O serviço entende esses casos extremos e simplifica a recuperação em nossos aplicativos e em nosso mecanismo de pesquisa. No DuckDuckGo, não coletamos ou compartilhamos informações pessoais. Essa é a nossa política de privacidade em poucas palavras. Para obter informações mais detalhadas sobre isso, você pode verificar nossa política de privacidade em https://DuckDuckGo.com/privacy. O serviço favicon, como todos os nossos serviços, segue esta política de privacidade na medida em que as solicitações são anônimas e não coletam ou compartilham nenhuma informação pessoal.
Além disso, eles também declararam a política de uso abordando a incerteza sobre os Favicons, em sua seção de política de privacidade.
Serviço diferente é usado porque o favicon é salvo em diferentes formatos e tamanhos. Além disso, DDG reitera as promessas de não coletar nenhuma informação do usuário.
Leia também – DuckDuckGo banido pelo governo indiano
Qual é a norma?
Embora o DDG esteja correto sobre as diferentes maneiras de referenciar o favicon em HTML, não é uma razão convincente para armazenar os dados do usuário (de favicons e nomes de host de sites visitados) em um serviço diferente em vez da extremidade do usuário (o host).
A preocupação de usuários e especialistas
O aplicativo do navegador DuckDuckGo Android pode usar os dados usados recuperados para personalizar perfis de usuário com base em indivíduos, descobrir o endereço IP a partir do qual um determinado site é visitado.
Outros navegadores principais armazenam os favicons e outras coisas relacionadas em seu próprio armazenamento, dependendo menos do servidor do site.
Essa tem sido a norma desde o Internet Explorer, o navegador que introduziu os favicons. W3 também afirma isso para favicons, que definem os padrões da web para a Internet.
O CEO da DuckDuckGo reconhece o problema
Depois que as críticas começaram a chegar, o CEO da DDG, Gabriel Weinberg postou no Hacker News, reconhecendo o problema, enquanto tranquilizava os usuários sobre não usar os favicons para outra coisa senão exibi-los em seu navegador Android.
Depois disso, ele respondeu aos comentários no tópico, reafirmando o compromisso da empresa com a privacidade do usuário.
DuckDuckGo comprometeu uma atualização para corrigir o problema em breve.
