Уязвимость в Chrome и Firefox в течение года позволяла получать данные о Facebook-профилях
Как установила группа исследователей, с 2016 года в Google Chrome и Mozilla Firefox работала уязвимость, позволяющая сайтам получать информацию о Facebook-профилях посетителей, пишет ArsTechnica. Проблема просуществовала более года, ее исправили в обновлениях: Chrome 63 (вышел в прошлом году) и Firefox 60 (вышел две недели назад).
Причиной появления уязвимости стала новая функция, появившаяся в языке CSS в 2016 году. Она называется «mix-blend-mode» и вводит смешивание разных цветов. Она же позволяла сайтам получать информацию с Facebook. Использовались iframe-элементы (так встраивают кнопки лайка или логина) и необычный способ обработки данных. Объектом «слива» были просто пиксели — баг не позволял выгружать целые картинки или посты.
Как это работает — на примере iframe-элемента от Facebook. Источник: ArsTechnica
Сайты анализировали то, что «видели» на iframe-элементе, помещая сверху дополнительные слои-обработчики, поскольку получить доступ к его содержимому не могли. Извлеченные пиксели можно обработать при помощи системы оптического распознавания. Так они узнавали имена пользователей или их изображения профилей.
Пример полученной картинки. Источник: ArsTechnica
Хотя со стороны процесс выглядит достаточно сложно, на выполнение всех операций компьютер мог потратить не более 20 секунд, отмечает издание Slashgear. При этом, обычно в браузерах действует политика безопасности, не позволяющая доменам обмениваться информацией, которую они хостят — но в этом случае правила были нарушены. Браузер Safari не был подвержен уязвимости, а Internet Explorer и Edge просто не было поддержки mix-blend-mode.
Тем не менее, как опасаются исследователи, обнаружившие проблему, это может быть только началом. С усложнением веб-технологий и увеличением возможностей HTML и CSS появится все больше способов получать доступ к чужим данным.
Напомним, ранее на AIN.UA выходил материал о том, почему не стоит пользоваться бесплатными VPN-сервисами.
Комментарии | 5
О нет, они украли сверхсекретные данные из моего профиля в Facebook, который и так может посмотреть кто угодно.
вообще-то сам факт того что сайт который ты посещаешь знает твои имя и фамилию уже _опа с конфиденциальностью полная. Если для вас это не важно, так публикуйте свою историю браузинга сами и ссылочку кидайте;) Будем подглядывать всем миром за вами))
Если кто-то не хочет, чтобы кто-то в интернете узнал его имя и фамилию, он может не публиковать в интернете свои имя и фамилию. А вывалить кучу данных о себе в открытый доступ, а потом ныть о том, что их «украли» — это верх идиотизма.
ну здесь чуть другая логика. Проблема как раз в связывании данных из ФБ и произвольного сайта.
В банке есть счет на котором лежит $200к. И это мало кого интересует. А как только нужные люди узнаю. что это счет именно Васи Х. — то у Васи вскоре могут случиться неожиданные неприятности. При том, что имя свое Вася никогда не прятал.
А для приближения к реальной жизни представьте, что речь не о счете в банке (благо, там безопасность кое-как обеспечивается), а о сайте букмекерской конторы или казино. И вот эта уязвимость дает возможность идентифицировать человека, который выиграл по-крупному.
Узнать имя и лицо человека несложно. Ну вот вообще. Можно просто подойти и познакомиться. Самое интересное, когда к этому имени появляется возможность привязать данные со стороны.
Не могу понять как удавалось получить скриншот страницы пользователя и чем это отличается от просто скриншота страницы, на котором есть тотже iframe?