学习
实践
活动
工具
TVP
写文章

Firefox、Chrome 现CSS 漏洞 可造成 Facebook 用户信息泄漏

因用户隐私问题,Facebook 连日来一直处于风口浪尖。

6月1日,据外媒 bleepingcomputer 报道,由于部分浏览器的 CSS 漏洞,恶意的第三方网站同样可以收集 Facebook 的用户信息,如用户的个人资料图片和名字等。

不过这次的锅,得 Firefox、Chrome 等浏览器来背。

这个漏洞来自于 2016 年推出的一个标准 Web 功能,是 CSS 层叠样式表( Cascading Style Sheets )标准中引入的一项新功能,该功能称为“mix-blend-mode”混合模式,通过 iframe 将 Facebook 页面嵌入到第三方网站时候,可以泄露可视内容(也就是像素)。

据安全人员分析,此举可以帮助一些广告商将 IP 地址或广告配置文件链接到真实的人身上,从而对用户的在线隐私构成严重威胁。

据悉,CSS混合模式功能支持16种混合模式,并且在Chrome(自v49)和Firefox(自v59以来)中完全支持,并部分受Safari支持(自v11 开始在 iOS 和 v10.3上)。

在最新发布的研究中,来自瑞士谷歌的安全工程师 Ruslan Habalov 与安全研究员 DarioWeißer 一起曝光了攻击者如何滥用CSS3混合模式从其他站点获取隐私信息。

该技术依赖于诱使用户访问攻击者将 iframe 嵌入到其他网站的恶意网站。在他们所举的例子中,Facebook的社交小部件中的两个嵌入式 iframe 中招 ,但其他网站也容易受到这个问题的影响。

Habalov和Weißer表示,根据呈现整个DIV堆栈所需的时间,攻击者可以确定用户屏幕上显示的像素颜色。

正常情况下,攻击者无法访问这些 iframe 的数据,这是由于浏览器和远程站点中实施的反点击劫持和其他安全措施,允许其内容通过 iframe 进行嵌入。

在线发布的两个演示中,研究人员能够检索用户的Facebook名称,低分辨率版本的头像以及他喜欢的站点。

在实际的攻击中,大约需要20秒来获得用户名,500毫秒来检查任何喜欢/不喜欢的页面的状态,以及大约20分钟来检索Facebook用户的头像。

攻击很容易掩盖,因为iframe可以很容易地移出屏幕,或隐藏在其他元素下面。

研究人员报告称,苹果的Safari浏览器、微软 Internet Explore r和 Edge 浏览器还未受影响,因为它们还没有实现标准“mix-blend-mode”模式功能。

雷锋网 VIA

bleepingcomputer

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180603A182KH00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码关注腾讯云开发者

领取腾讯云代金券