прислать материал
AIN.UA » Безопасность, КоллекцииУязвимость в Chrome и Firefox в течение года позволяла получать данные о Facebook-профилях

Уязвимость в Chrome и Firefox в течение года позволяла получать данные о Facebook-профилях

2336 5

Как установила группа исследователей, с 2016 года в Google Chrome и Mozilla Firefox работала уязвимость, позволяющая сайтам получать информацию о Facebook-профилях посетителей, пишет ArsTechnica. Проблема просуществовала более года, ее исправили в обновлениях: Chrome 63 (вышел в прошлом году) и Firefox 60 (вышел две недели назад).

Причиной появления уязвимости стала новая функция, появившаяся в языке CSS в 2016 году. Она называется «mix-blend-mode» и вводит смешивание разных цветов. Она же позволяла сайтам получать информацию с Facebook. Использовались iframe-элементы (так встраивают кнопки лайка или логина) и необычный способ обработки данных. Объектом «слива» были просто пиксели — баг не позволял выгружать целые картинки или посты.

Как это работает — на примере iframe-элемента от Facebook. Источник: ArsTechnica

Сайты анализировали то, что «видели» на iframe-элементе, помещая сверху дополнительные слои-обработчики, поскольку получить доступ к его содержимому не могли. Извлеченные пиксели можно обработать при помощи системы оптического распознавания. Так они узнавали имена пользователей или их изображения профилей.

Пример полученной картинки. Источник: ArsTechnica

Хотя со стороны процесс выглядит достаточно сложно, на выполнение всех операций компьютер мог потратить не более 20 секунд, отмечает издание Slashgear. При этом, обычно в браузерах действует политика безопасности, не позволяющая доменам обмениваться информацией, которую они хостят — но в этом случае правила были нарушены. Браузер Safari не был подвержен уязвимости, а Internet Explorer и Edge просто не было поддержки mix-blend-mode.

Тем не менее, как опасаются исследователи, обнаружившие проблему, это может быть только началом. С усложнением веб-технологий и увеличением возможностей HTML и CSS появится все больше способов получать доступ к чужим данным.

Напомним, ранее на AIN.UA выходил материал о том, почему не стоит пользоваться бесплатными VPN-сервисами.

Заметили ошибку? Выделите ее и нажмите Ctrl+Enter, чтобы сообщить нам.

Также подобрали для вас

Загрузить еще

Добавить комментарий

Такой e-mail уже зарегистрирован. Воспользуйтесь формой входа или введите другой.

Вы ввели некорректные логин или пароль

5 комментариев

по хронологии
по рейтингу сначала новые по хронологии

О нет, они украли сверхсекретные данные из моего профиля в Facebook, который и так может посмотреть кто угодно.

вообще-то сам факт того что сайт который ты посещаешь знает твои имя и фамилию уже _опа с конфиденциальностью полная. Если для вас это не важно, так публикуйте свою историю браузинга сами и ссылочку кидайте;) Будем подглядывать всем миром за вами))

Если кто-то не хочет, чтобы кто-то в интернете узнал его имя и фамилию, он может не публиковать в интернете свои имя и фамилию. А вывалить кучу данных о себе в открытый доступ, а потом ныть о том, что их "украли" - это верх идиотизма.

ну здесь чуть другая логика. Проблема как раз в связывании данных из ФБ и произвольного сайта.
В банке есть счет на котором лежит $200к. И это мало кого интересует. А как только нужные люди узнаю. что это счет именно Васи Х. - то у Васи вскоре могут случиться неожиданные неприятности. При том, что имя свое Вася никогда не прятал.
А для приближения к реальной жизни представьте, что речь не о счете в банке (благо, там безопасность кое-как обеспечивается), а о сайте букмекерской конторы или казино. И вот эта уязвимость дает возможность идентифицировать человека, который выиграл по-крупному.
Узнать имя и лицо человека несложно. Ну вот вообще. Можно просто подойти и познакомиться. Самое интересное, когда к этому имени появляется возможность привязать данные со стороны.

Не могу понять как удавалось получить скриншот страницы пользователя и чем это отличается от просто скриншота страницы, на котором есть тотже iframe?

Поиск

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: