資安 CSS 漏洞!Firefox、Chrome恐釀 Facebook 用戶資訊外洩

資安 CSS 漏洞!Firefox、Chrome恐釀 Facebook 用戶資訊外洩
▲「 mix-blend-mode 」混合模式,通過 iframe 將 Facebook 頁面嵌入到第三方網站時候,可以洩露可視內容。(圖/翻攝自雷鋒網)

【原文:《Firefox、Chrome 現CSS 漏洞可造成Facebook 用戶信息洩漏》,作者:郭佳,智慧機器人網編輯整理】

文、圖/雷鋒網

因用戶隱私問題, Facebook 連日來一直遭遇檢討的浪頭上。 6 月 1 日,根據外國媒體 bleepingcomputer 報導,由於部分瀏覽器的 CSS 漏洞,惡意的第三方網站同樣可以收集 Facebook 的用戶資訊,例如用戶的個人資料圖片和名字等。

▲(圖/翻攝自雷鋒網)

不過這次捅出簍子的是 Firefox 、 Chrome 等瀏覽器。這個漏洞來自於 2016 年推出的一個標準 Web 功能,是 CSS 層疊樣式表( Cascading Style Sheets )標準中引入的一項新功能,該功能稱為「 mix-blend-mode 」混合模式,通過 iframe 將 Facebook 頁面嵌入到第三方網站時候,可以洩露可視內容(也就是像素)。

據安全人員分析,此舉可以幫助一些廣告商將 IP 地址或廣告配置文件連結到真實的人身上,從而對用戶的線上隱私構成嚴重威脅。據悉, CSS 混合模式功能支援 16 種混合模式,並且在 Chrome(自 v49 )和 Firefox (自 v59 以來)中完全支援,並部分受 Safari 支援(自 v11 開始在 iOS 和 v10.3 上)。

在最新發布的研究中,來自瑞士 Google 的安全工程師 Ruslan Habalov 與安全研究員 DarioWeißer 一起揭露攻擊者如何濫用 CSS3 混合模式從其他站點獲取隱私資訊。

▲(圖/翻攝自雷鋒網)

該技術依賴於誘使用戶訪問攻擊者將 iframe 嵌入到其他網站的惡意網站。在他們所舉的例子中, Facebook 的社交小部件中的兩個嵌入式 iframe 中招,但其他網站也容易受到這個問題的影響。 Habalov 和 Weißer 表示,根據呈現整個 DIV 堆棧所需的時間,攻擊者可以確定用戶螢幕上顯示的像素顏色。正常情況下,攻擊者無法訪問這些 iframe 的數據,這是由於瀏覽器和遠程站點中實施的反點擊劫持和其他安全措施,允許其內容通過 iframe 進行嵌入。

線上發布的兩個範例中,研究人員能夠檢索用戶的 Facebook 名稱,低分辨率版本的頭像以及他喜歡的站點。在實際的攻擊中,大約需要 20 秒來獲得用戶名, 500 毫秒來檢查任何喜歡或不喜歡的頁面的狀態,以及大約 20 分鐘來檢索 Facebook 用戶的大頭照。攻擊很容易掩蓋,因為 iframe 可以很容易地移出螢幕,或隱藏在其他元素下面。研究人員報告稱,蘋果的 Safari 瀏覽器、微軟 Internet Explore r 和 Edge 瀏覽器還未受影響,因為它們還沒有實現標準「 mix-blend-mode 」模式功能。

熱門標籤

留言

延伸閱讀