CreepJS: Como o teste de impressão digital do navegador te vê
Abra uma página web comum e, antes mesmo de clicar em qualquer coisa, ela já consegue identificar seu navegador em meio a milhões. Sem login, sem cookies, sem solicitação de permissão. Limpe seu histórico, mude para o modo anônimo, use uma VPN e, mesmo assim, a página muitas vezes ainda consegue reconhecê-lo. Isso acontece não pelo seu endereço IP, mas pelas milhares de pequenas peculiaridades que seu navegador oferece gratuitamente. O CreepJS é a ferramenta que comprova o quão exposto você está e, depois de vê-lo em ação, a web deixa de parecer tão anônima. Este guia explica o que é o CreepJS, como ele o identifica, como combater a erosão da privacidade no navegador e por que qualquer pessoa que administre mais de uma conta de criptomoedas deve se preocupar com isso.
O que é a identificação digital do navegador?
A identificação por impressão digital do navegador é uma forma de identificação sem o uso de tags. Em vez de instalar um cookie no seu dispositivo e lê-lo posteriormente, um script coleta silenciosamente dezenas de detalhes que seu navegador revela apenas ao carregar uma página, combinando-os em um único valor que geralmente é exclusivo para você. A resolução da sua tela, as fontes instaladas, seu fuso horário, a string do seu agente de usuário , a maneira exata como sua placa de vídeo renderiza uma imagem — cada um desses dados é trivial individualmente, mas, em conjunto, descrevem um navegador específico e praticamente nenhum outro.
Quão única é essa combinação? Em um estudo marcante da EFF (Entertainment Foundation) , Peter Eckersley descobriu que 83,6% dos navegadores eram únicos entre os visitantes que fizeram o teste, número que subiu para 94,2% quando os detalhes dos plugins foram incluídos, com a impressão digital contendo cerca de 18,1 bits de informação identificadora. Um estudo posterior, de 2018, com dois milhões de visitantes de um site popular, apontou uma singularidade no mundo real menor, em torno de 33,6%, porque os usuários comuns se agrupam em configurações semelhantes. A verdade está entre esses números e, de qualquer forma, quanto mais incomum for o seu navegador, mais a sua impressão digital única o revelará.
A técnica também é muito mais comum do que a maioria das pessoas imagina. Uma pesquisa realizada pela Universidade de Princeton com os milhões de sites mais populares revelou que a técnica de impressão digital de canvas estava presente em cerca de 1,6% deles, ultrapassando 5% dos sites mais populares, e medições posteriores apontaram que, em 2021, esse número se aproximava de 10% dos cem mil sites mais acessados. A aplicação da técnica também é desigual, já que uma pesquisa da AmIUnique constatou que aproximadamente 90% dos navegadores de desktop eram únicos, contra cerca de 81% em dispositivos móveis, onde o hardware tende a ser mais uniforme. De uma forma ou de outra, a impressão digital de canvas está presente silenciosamente em uma grande parcela das páginas que você já visita.
O que é CreepJS e quem o criou?
O CreepJS não é um rastreador que tenta vender seus dados; é uma biblioteca de impressão digital e um espelho de código aberto, criada pelo desenvolvedor Abraham Juliot para mostrar como a maioria das defesas de privacidade são realmente frágeis e como a impressão digital funciona na prática. Você acessa a demonstração ao vivo pelo seu navegador, ela executa os testes e retorna um relatório sobre o quão identificável e honesto seu navegador parece.
O projeto reside no GitHub sob uma licença MIT permissiva, com aproximadamente 2.400 estrelas, e reúne mais de vinte categorias de testes em uma única página. É melhor compreendido como um benchmark de pesquisa do que como um bloqueador de bots para uso no mundo real, o padrão que pesquisadores de privacidade e fornecedores de anti-detecção usam para avaliar seu próprio trabalho. Se sua configuração furtiva não resistir ao CreepJS, também não resistirá a um serviço comercial sério de fingerprinting, e é exatamente por isso que a ferramenta se tornou o exame não oficial para o qual todos estudam.
O relatório gerado é excepcionalmente detalhado para uma ferramenta gratuita. Além da pontuação de confiança principal, ele lista todos os sinais medidos, marca aqueles que parecem manipulados e mostra a estabilidade da sua impressão digital ao recarregar a página. É por isso que os desenvolvedores o utilizam primeiro quando querem saber se um ajuste de privacidade realmente fez alguma diferença ou se foi apenas uma impressão.
Como o CreepJS funciona internamente
A maioria das verificações de impressão digital simplesmente lê suas configurações. O CreepJS vai além, pois faz com que seu navegador execute ações reais: desenhe uma imagem, renderize em 3D, execute a impressão digital de áudio em um som gerado, dispare temporizadores e, em seguida, estuda como sua máquina realiza cada tarefa. O "como" é muito mais difícil de falsificar do que o "o quê", e é aí que o CreepJS conquista sua reputação.
Os sinais que o CreepJS coleta
A ferramenta utiliza uma ampla variedade de fontes, e cada um desses atributos do navegador revela algo ligeiramente diferente sobre o seu dispositivo. A tabela abaixo mostra os principais e o que eles fornecem.
| Sinal | O que isso revela |
|---|---|
| Tela | Pequenas diferenças de pixels quando seu dispositivo renderiza texto e formas. |
| WebGL / GPU | Seu hardware gráfico e driver, expostos através da renderização 3D. |
| Áudio da Web | Como seu circuito de áudio processa uma onda sonora gerada |
| Fontes instaladas | A lista exata de fontes que seu sistema utiliza. |
| Resolução da tela | Tamanho da tela, profundidade de cor e proporção de pixels |
| Agente do usuário | Alegações sobre navegador, versão e sistema operacional |
| WebRTC | Detalhes da rede local que podem vazar através de uma VPN |
Um script lê a maioria dessas informações por meio de JavaScript comum e APIs do navegador, incluindo os plugins que seu navegador reporta. O CreepJS então executa as mesmas sondagens dentro de web workers e frames ocultos para verificar as respostas, já que um navegador que foi adulterado frequentemente fornece uma resposta na janela principal e uma resposta diferente em outro lugar.
Índice de confiança, entropia e mentiras
O CreepJS encapsula cada sinal em um hash, um valor compacto que representa todo o seu perfil. Com base nisso, ele gera uma pontuação de confiança, que se preocupa menos com a sua raridade e mais com a consistência e o comportamento esperado do seu navegador. Uma configuração simples e coerente obtém uma boa pontuação, mesmo que seja comum.
A parte inteligente está na detecção de mentiras. O CreepJS monitora as "mentiras", as pequenas contradições que aparecem quando alguém adultera o navegador, como um agente de usuário que alega ser macOS enquanto as fontes e o conjunto de gráficos instalados indicam claramente Windows. Falsificar um valor cria uma discrepância em outro lugar, e essa discrepância costuma ser mais evidente do que o sinal original que você tentou ocultar.
Vai além da simples verificação de rótulos. O CreepJS também mede a duração de certas operações e inspeciona a forma como o seu mecanismo JavaScript arredonda os resultados matemáticos, pois diferentes versões do mecanismo arredondam cálculos trigonométricos de maneiras ligeiramente diferentes, e um número de versão falsificado não pode alterar a forma como o mecanismo real computa. Empilhe um número suficiente dessas verificações discretas e um disfarce convincente começará a parecer uma fantasia.
O que o CreepJS revela sobre navegadores sem interface gráfica
É essa parte que deixa os criadores de scrapers e bots nervosos. Ferramentas de automação de navegador comuns são detectadas quase instantaneamente, porque uma sessão padrão do Selenium ou Playwright apresenta indícios óbvios: o parâmetro `navigator.webdriver` definido como verdadeiro, um agente de usuário HeadlessChrome e sinais que simplesmente não correspondem ao navegador de uma pessoa real. Patches de ocultação atenuam esses indícios, mas raramente os eliminam completamente.
Testes independentes realizados com o CreepJS mostram a grande diferença entre um bot comum e um bot sofisticado. Os dados abaixo são provenientes de relatórios de detecção de bots que submeteram cada ferramenta ao mesmo teste de identificação.
| Configuração de automação | Detecção CreepJS |
|---|---|
| Selênio de baunilha / Dramaturgo | ~100% detectado |
| Dramaturgo com plugin furtivo | Aproximadamente 40% detectados |
| ChromeDriver não detectado | ~31% detectados |
| Camoufox (Firefox reforçado) | pontuação sem cabeça próxima de 0% |
A lição para quem está desenvolvendo um web scraper é direta. Desativar uma única opção não é suficiente, pois o CreepJS verifica se todo o perfil está correto, e uma ferramenta de automação disfarçada no CreepJS geralmente tem um desempenho pior do que uma ferramenta honesta. O objetivo não é reduzir o navegador a nada, já que um perfil vazio é suspeito por si só, mas sim fazer com que uma sessão headless renderize, se comporte e cronometre exatamente como um navegador real em uma tela real, o que é uma tarefa muito mais complexa do que simplesmente desativar uma única configuração.
Como burlar a detecção do CreepJS em contas de criptomoedas
Eis o ângulo que raramente vejo em uma explicação sobre o CreepJS. As corretoras e plataformas de airdrop coletam impressões digitais dos visitantes pelo mesmo motivo que os cassinos monitoram o salão — para flagrar uma pessoa operando várias contas simultaneamente, e uma única impressão digital compartilhada pode vincular toda uma rede de carteiras "separadas" a uma única máquina.
Por que as exchanges e os airdrops te identificam?
Aqui, o que está em jogo é dinheiro de verdade. Quando o protocolo LayerZero realizou sua operação contra ataques Sybil em airdrops em maio de 2024, sinalizou 803.093 endereços como suspeitos de serem usados para distribuir múltiplas contas, e ao final, aproximadamente 59% de todos os solicitantes foram removidos. A identificação de dispositivos e navegadores é uma das ferramentas mais poderosas que as plataformas usam para vincular essas contas. É possível criar novas carteiras em segundos, mas construir uma nova impressão digital genuína é muito mais difícil.
O que os navegadores anti-detecção realmente fazem
É aqui que entram os navegadores anti-detecção , categoria que inclui Multilogin, GoLogin, AdsPower e Dolphin Anty . Em vez de ocultar sua impressão digital, eles fornecem a cada perfil uma impressão digital completa e internamente consistente, de modo que cada conta pareça uma pessoa comum diferente, em vez da mesma pessoa disfarçada. A demanda explodiu e o AdsPower sozinho relata um crescimento de cerca de 100.000 usuários em 2020 para aproximadamente 9 milhões em 2025. O que eles fazem bem é manter a coerência, já que um perfil totalmente consistente é melhor do que um que foi habilmente alterado em três lugares e é contraditório em um quarto. Nos bastidores, cada perfil envia um conjunto correspondente de valores. Um agente de usuário plausível, uma lista de fontes, uma string de GPU, um tamanho de tela e um fuso horário pertencem ao mesmo dispositivo imaginado, e as melhores ferramentas os rotacionam como uma unidade única, em vez de editar um campo e esperar que o resto ainda se encaixe. No entanto, uma ressalva importante deve ser feita. Uma impressão digital limpa protege a privacidade do seu login, mas não substitui a autogestão e a segurança operacional adequada, e manter várias contas em execução pode violar os termos da plataforma.
Como diminuir sua pontuação de confiança no CreepJS
Um passo a passo concreto é mais raro do que você imagina, e a regra contra-intuitiva por trás disso é que parecer normal e consistente é melhor do que parecer falso. Aqui está uma ordem sensata para seguir:
1. Comece com um perfil de dispositivo real e comum e resista à tentação de falsificar parcialmente valores individuais, pois cada discrepância que você criar é algo que o CreepJS pode sinalizar como mentira.
2. Para anonimato absoluto, use o navegador Tor , que divide sua tela em tamanhos fixos por meio de barras pretas e faz com que todas as máquinas Windows mostrem o mesmo Windows e todos os Macs mostrem o mesmo macOS, para que você se misture à multidão.
3. Considere o Brave, cujo recurso de "farbling" adiciona uma pequena variação aleatória por sessão às leituras de tela e áudio, de modo que os valores mudam entre os sites em vez de formar um ID estável.
4. Evite extensões exóticas e configurações incomuns, pois cada escolha peculiar aumenta sua entropia e o torna mais único, não menos.
5. Para o gerenciamento de múltiplas contas, utilize um navegador com boa proteção contra detecção e um perfil consistente, em vez de uma série de extensões de privacidade. Em seguida, teste novamente na demonstração ao vivo do CreepJS e observe as mentiras serem contabilizadas, e não apenas a pontuação da manchete.
Comece pelas contas que realmente importam, faça os testes com honestidade e encare o número como um feedback, e não como uma nota que você precisa tirar de letra na primeira tentativa.
As limitações de como contornar a identificação digital do navegador
Na verdade, você nunca vence a coleta de dados pessoais por meio de impressões digitais; você apenas se camufla, e o CreepJS existe para mostrar o quão tênue essa camuflagem pode ser. As ferramentas anti-impressão digital melhoraram, mas os métodos de detecção também. A tendência geral não é animadora para a privacidade. O Google manteve os cookies de terceiros ativos em abril de 2025, após anos prometendo eliminá-los, e, no início daquele ano, suspendeu discretamente sua própria proibição de coleta de dados pessoais por meio de impressões digitais para anunciantes — uma medida que o órgão regulador de dados do Reino Unido considerou irresponsável. A coleta de dados pessoais por meio de impressões digitais está crescendo, não desaparecendo, portanto, o objetivo realista é um perfil coerente e de baixa entropia que se misture à multidão, e não a invisibilidade total.
Sua impressão digital, CreepJS e privacidade
Execute o CreepJS em si mesmo uma vez e deixe que a pontuação de confiança seja o alerta que deveria ser. O objetivo não é parecer um fantasma, o que só o torna mais estranho, mas sim parecer comum e consistente, e escolher a ferramenta certa para cada tarefa — Tor quando você quiser anonimato, um perfil anti-detecção coerente quando estiver gerenciando várias contas. A identificação digital é um jogo de camuflagem para valer. Então, a verdadeira pergunta é simples: quando foi a última vez que você verificou o que seu próprio navegador está dizendo à internet?
