Уязвимость в Chrome и Firefox в течение года позволяла получать данные о Facebook-профилях
Как установила группа исследователей, с 2016 года в Google Chrome и Mozilla Firefox работала уязвимость, позволяющая сайтам получать информацию о Facebook-профилях посетителей, пишет ArsTechnica. Проблема просуществовала более года, ее исправили в обновлениях: Chrome 63 (вышел в прошлом году) и Firefox 60 (вышел две недели назад).
Причиной появления уязвимости стала новая функция, появившаяся в языке CSS в 2016 году. Она называется «mix-blend-mode» и вводит смешивание разных цветов. Она же позволяла сайтам получать информацию с Facebook. Использовались iframe-элементы (так встраивают кнопки лайка или логина) и необычный способ обработки данных. Объектом «слива» были просто пиксели — баг не позволял выгружать целые картинки или посты.
Сайты анализировали то, что «видели» на iframe-элементе, помещая сверху дополнительные слои-обработчики, поскольку получить доступ к его содержимому не могли. Извлеченные пиксели можно обработать при помощи системы оптического распознавания. Так они узнавали имена пользователей или их изображения профилей.
Хотя со стороны процесс выглядит достаточно сложно, на выполнение всех операций компьютер мог потратить не более 20 секунд, отмечает издание Slashgear. При этом, обычно в браузерах действует политика безопасности, не позволяющая доменам обмениваться информацией, которую они хостят — но в этом случае правила были нарушены. Браузер Safari не был подвержен уязвимости, а Internet Explorer и Edge просто не было поддержки mix-blend-mode.
Тем не менее, как опасаются исследователи, обнаружившие проблему, это может быть только началом. С усложнением веб-технологий и увеличением возможностей HTML и CSS появится все больше способов получать доступ к чужим данным.
Напомним, ранее на AIN.UA выходил материал о том, почему не стоит пользоваться бесплатными VPN-сервисами.
Комментарии | 5
О нет, они украли сверхсекретные данные из моего профиля в Facebook, который и так может посмотреть кто угодно.
вообще-то сам факт того что сайт который ты посещаешь знает твои имя и фамилию уже _опа с конфиденциальностью полная. Если для вас это не важно, так публикуйте свою историю браузинга сами и ссылочку кидайте;) Будем подглядывать всем миром за вами))
Если кто-то не хочет, чтобы кто-то в интернете узнал его имя и фамилию, он может не публиковать в интернете свои имя и фамилию. А вывалить кучу данных о себе в открытый доступ, а потом ныть о том, что их «украли» — это верх идиотизма.
ну здесь чуть другая логика. Проблема как раз в связывании данных из ФБ и произвольного сайта.
В банке есть счет на котором лежит $200к. И это мало кого интересует. А как только нужные люди узнаю. что это счет именно Васи Х. — то у Васи вскоре могут случиться неожиданные неприятности. При том, что имя свое Вася никогда не прятал.
А для приближения к реальной жизни представьте, что речь не о счете в банке (благо, там безопасность кое-как обеспечивается), а о сайте букмекерской конторы или казино. И вот эта уязвимость дает возможность идентифицировать человека, который выиграл по-крупному.
Узнать имя и лицо человека несложно. Ну вот вообще. Можно просто подойти и познакомиться. Самое интересное, когда к этому имени появляется возможность привязать данные со стороны.
Не могу понять как удавалось получить скриншот страницы пользователя и чем это отличается от просто скриншота страницы, на котором есть тотже iframe?