Firefox、Chrome 現(xiàn)CSS 漏洞 可造成 Facebook 用戶信息泄漏

因用戶隱私問題，F(xiàn)acebook 連日來一直處于風(fēng)口浪尖。

6月1日，據(jù)外媒 bleepingcomputer 報(bào)道，由于部分瀏覽器的 CSS 漏洞，惡意的第三方網(wǎng)站同樣可以收集 Facebook 的用戶信息，如用戶的個(gè)人資料圖片和名字等。

不過這次的鍋，得 Firefox、Chrome 等瀏覽器來背。

這個(gè)漏洞來自于 2016 年推出的一個(gè)標(biāo)準(zhǔn) Web 功能，是 CSS 層疊樣式表( Cascading Style Sheets )標(biāo)準(zhǔn)中引入的一項(xiàng)新功能，該功能稱為“mix-blend-mode”混合模式，通過 iframe 將 Facebook 頁面嵌入到第三方網(wǎng)站時(shí)候，可以泄露可視內(nèi)容（也就是像素）。

據(jù)安全人員分析，此舉可以幫助一些廣告商將 IP 地址或廣告配置文件鏈接到真實(shí)的人身上，從而對(duì)用戶的在線隱私構(gòu)成嚴(yán)重威脅。

據(jù)悉，CSS混合模式功能支持16種混合模式，并且在Chrome（自v49）和Firefox（自v59以來）中完全支持。

在最新發(fā)布的研究中，來自瑞士谷歌的安全工程師 Ruslan Habalov 與安全研究員 DarioWei?er 一起曝光了攻擊者如何濫用CSS3混合模式從其他站點(diǎn)獲取隱私信息。

該技術(shù)依賴于誘使用戶訪問攻擊者將 iframe 嵌入到其他網(wǎng)站的惡意網(wǎng)站。在他們所舉的例子中，F(xiàn)acebook的社交小部件中的兩個(gè)嵌入式 iframe 中招 ，但其他網(wǎng)站也容易受到這個(gè)問題的影響。

Habalov和Wei?er表示，根據(jù)呈現(xiàn)整個(gè)DIV堆棧所需的時(shí)間，攻擊者可以確定用戶屏幕上顯示的像素顏色。

正常情況下，攻擊者無法訪問這些 iframe 的數(shù)據(jù)，這是由于瀏覽器和遠(yuǎn)程站點(diǎn)中實(shí)施的反點(diǎn)擊劫持和其他安全措施，允許其內(nèi)容通過 iframe 進(jìn)行嵌入。

在線發(fā)布的兩個(gè)演示中，研究人員能夠檢索用戶的Facebook名稱，低分辨率版本的頭像以及他喜歡的站點(diǎn)。

在實(shí)際的攻擊中，大約需要20秒來獲得用戶名，500毫秒來檢查任何喜歡/不喜歡的頁面的狀態(tài)，以及大約20分鐘來檢索Facebook用戶的頭像。

攻擊很容易掩蓋，因?yàn)閕frame可以很容易地移出屏幕，或隱藏在其他元素下面。

研究人員報(bào)告稱，蘋果的Safari瀏覽器、微軟 Internet Explore r和 Edge 瀏覽器還未受影響，因?yàn)樗鼈冞€沒有實(shí)現(xiàn)標(biāo)準(zhǔn)“mix-blend-mode”模式功能。

雷鋒網(wǎng) VIA bleepingcomputer

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。