EN

Уязвимость в Chrome и Firefox в течение года позволяла получать данные о Facebook-профилях

4779
5

Как установила группа исследователей, с 2016 года в Google Chrome и Mozilla Firefox работала уязвимость, позволяющая сайтам получать информацию о Facebook-профилях посетителей, пишет ArsTechnica. Проблема просуществовала более года, ее исправили в обновлениях: Chrome 63 (вышел в прошлом году) и Firefox 60 (вышел две недели назад).

Причиной появления уязвимости стала новая функция, появившаяся в языке CSS в 2016 году. Она называется «mix-blend-mode» и вводит смешивание разных цветов. Она же позволяла сайтам получать информацию с Facebook. Использовались iframe-элементы (так встраивают кнопки лайка или логина) и необычный способ обработки данных. Объектом «слива» были просто пиксели — баг не позволял выгружать целые картинки или посты.

Как это работает — на примере iframe-элемента от Facebook. Источник: ArsTechnica

Сайты анализировали то, что «видели» на iframe-элементе, помещая сверху дополнительные слои-обработчики, поскольку получить доступ к его содержимому не могли. Извлеченные пиксели можно обработать при помощи системы оптического распознавания. Так они узнавали имена пользователей или их изображения профилей.

Пример полученной картинки. Источник: ArsTechnica

Хотя со стороны процесс выглядит достаточно сложно, на выполнение всех операций компьютер мог потратить не более 20 секунд, отмечает издание Slashgear. При этом, обычно в браузерах действует политика безопасности, не позволяющая доменам обмениваться информацией, которую они хостят — но в этом случае правила были нарушены. Браузер Safari не был подвержен уязвимости, а Internet Explorer и Edge просто не было поддержки mix-blend-mode.

Тем не менее, как опасаются исследователи, обнаружившие проблему, это может быть только началом. С усложнением веб-технологий и увеличением возможностей HTML и CSS появится все больше способов получать доступ к чужим данным.

Напомним, ранее на AIN.UA выходил материал о том, почему не стоит пользоваться бесплатными VPN-сервисами.

Оставить комментарий

Комментарии | 5

  • О нет, они украли сверхсекретные данные из моего профиля в Facebook, который и так может посмотреть кто угодно.

  • вообще-то сам факт того что сайт который ты посещаешь знает твои имя и фамилию уже _опа с конфиденциальностью полная. Если для вас это не важно, так публикуйте свою историю браузинга сами и ссылочку кидайте;) Будем подглядывать всем миром за вами))

    • Если кто-то не хочет, чтобы кто-то в интернете узнал его имя и фамилию, он может не публиковать в интернете свои имя и фамилию. А вывалить кучу данных о себе в открытый доступ, а потом ныть о том, что их «украли» — это верх идиотизма.

      • ну здесь чуть другая логика. Проблема как раз в связывании данных из ФБ и произвольного сайта.
        В банке есть счет на котором лежит $200к. И это мало кого интересует. А как только нужные люди узнаю. что это счет именно Васи Х. — то у Васи вскоре могут случиться неожиданные неприятности. При том, что имя свое Вася никогда не прятал.
        А для приближения к реальной жизни представьте, что речь не о счете в банке (благо, там безопасность кое-как обеспечивается), а о сайте букмекерской конторы или казино. И вот эта уязвимость дает возможность идентифицировать человека, который выиграл по-крупному.
        Узнать имя и лицо человека несложно. Ну вот вообще. Можно просто подойти и познакомиться. Самое интересное, когда к этому имени появляется возможность привязать данные со стороны.

  • Не могу понять как удавалось получить скриншот страницы пользователя и чем это отличается от просто скриншота страницы, на котором есть тотже iframe?

Последние новости
20 сен
Смотреть все
  • Истории компаний
  • НДС для Facebook и Netflix
  • Расследования AIN.UA
  • Спецпроекты
  • Безопасность номера
  • Безпека гаманця
Реклама на AIN.UA

Поиск