Firefox、Chrome 現CSS 漏洞 可造成 Facebook 用戶信息泄漏

因用戶隱私問題,Facebook 連日來一直處於風口浪尖。

6月1日,據外媒 bleepingcomputer 報道,由於部分瀏覽器的 CSS 漏洞,惡意的第三方網站同樣可以收集 Facebook 的用戶信息,如用戶的個人資料圖片和名字等。

不過這次的鍋,得 Firefox、Chrome 等瀏覽器來背。

這個漏洞來自於 2016 年推出的一個標準 Web 功能,是 CSS 層疊樣式表( Cascading Style Sheets )標準中引入的一項新功能,該功能稱為「mix-blend-mode」混合模式,通過 iframe 將 Facebook 頁面嵌入到第三方網站時候,可以泄露可視內容(也就是像素)。

據安全人員分析,此舉可以幫助一些廣告商將 IP 地址或廣告配置文件鏈接到真實的人身上,從而對用戶的在線隱私構成嚴重威脅。

據悉,CSS混合模式功能支持16種混合模式,並且在Chrome(自v49)和Firefox(自v59以來)中完全支持,並部分受Safari支持(自v11 開始在 iOS 和 v10.3上)。

在最新發佈的研究中,來自瑞士谷歌的安全工程師 Ruslan Habalov 與安全研究員 DarioWeißer 一起曝光了攻擊者如何濫用CSS3混合模式從其他站點獲取隱私信息。

該技術依賴於誘使用戶訪問攻擊者將 iframe 嵌入到其他網站的惡意網站。在他們所舉的例子中,Facebook的社交小部件中的兩個嵌入式 iframe 中招 ,但其他網站也容易受到這個問題的影響。

Habalov和Weißer表示,根據呈現整個DIV堆棧所需的時間,攻擊者可以確定用戶屏幕上顯示的像素顏色。

正常情況下,攻擊者無法訪問這些 iframe 的數據,這是由於瀏覽器和遠程站點中實施的反點擊劫持和其他安全措施,允許其內容通過 iframe 進行嵌入。

在線發佈的兩個演示中,研究人員能夠檢索用戶的Facebook名稱,低分辨率版本的頭像以及他喜歡的站點。

在實際的攻擊中,大約需要20秒來獲得用戶名,500毫秒來檢查任何喜歡/不喜歡的頁面的狀態,以及大約20分鐘來檢索Facebook用戶的頭像。

攻擊很容易掩蓋,因為iframe可以很容易地移出屏幕,或隱藏在其他元素下面。

研究人員報告稱,蘋果的Safari瀏覽器、微軟 Internet Explore r和 Edge 瀏覽器還未受影響,因為它們還沒有實現標準「mix-blend-mode」模式功能。

雷鋒網 VIA bleepingcomputer


想在手機閱讀更多css資訊?下載【香港矽谷】Android應用
分享到Facebook
技術平台: Nasthon Systems