因用戶隱私問題,Facebook 連日來一直處於風口浪尖。
6月1日,據外媒 bleepingcomputer 報道,由於部分瀏覽器的 CSS 漏洞,惡意的第三方網站同樣可以收集 Facebook 的用戶信息,如用戶的個人資料圖片和名字等。
在推特上,有用戶稱這是個“令人歎為觀止”的漏洞。
不過這次的鍋,得 Firefox、Chrome 等瀏覽器來背。
這個漏洞來自於 2016 年推出的一個標準 Web 功能,是 CSS 層疊樣式表( Cascading Style Sheets )標準中引入的一項新功能,該功能稱為“ mix-blend-mode ”混合模式,當 iframe 將 Facebook 頁面嵌入到第三方網站時候,可以洩露可視內容(也就是像素)。
據安全人員分析,此舉可以幫助一些廣告商將 IP 地址或廣告配置文件鏈接到真實的人身上,從而對用戶的在線隱私構成嚴重威脅。
據悉,CSS 混合模式功能支持16 種混合模式,並且在Chrome(自v49)和Firefox(自v59以來)中完全支持。
在最新發布的研究中,來自瑞士谷歌的安全工程師 Ruslan Habalov 與安全研究員 DarioWeißer 一起曝光了攻擊者如何濫用 CSS3 混合模式從其他站點獲取隱私信息。
該技術依賴於誘使用戶訪問攻擊者將 iframe 嵌入到其他網站的惡意網站。在他們所舉的例子中,Facebook 的社交小部件中的兩個嵌入式 iframe 中招 ,但其他網站也容易受到這個問題的影響。
Habalov 和 Weißer 表示,根據呈現整個 DIV 堆棧所需的時間,攻擊者可以確定用戶屏幕上顯示的像素顏色。
正常情況下,攻擊者無法訪問這些 iframe 的數據,這是由於瀏覽器和遠程站點中實施的反點擊劫持和其他安全措施,允許其內容通過 iframe 進行嵌入。
在線發佈的兩個演示中,研究人員能夠檢索用戶的 Facebook 名稱,低分辨率版本的頭像以及他喜歡的站點。
在實際的攻擊中,大約需要 20 秒來獲得用戶名,500 毫秒來檢查任何喜歡/不喜歡的頁面的狀態,以及大約 20 分鐘來檢索 Facebook 用戶的頭像。
攻擊很容易掩蓋,因為 iframe 可以很容易地移出屏幕,或隱藏在其他元素下面。
研究人員報告稱,蘋果的Safari瀏覽器、微軟 Internet Explorer 和 Edge 瀏覽器還未受影響,因為它們還沒有實現標準“ mix-blend-mode ”模式功能。
宅客頻道 VIA bleepingcomputer