您正在使用IE低版浏览器,为了您的雷峰网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
此为临时链接,仅用于文章预览,将在时失效
政企安全 正文
发私信给郭佳
发送

0

Firefox、Chrome 现CSS 漏洞 可造成 Facebook 用户信息泄漏

本文作者: 郭佳 2018-06-04 11:20 专题:CSS 中国互联网安全领袖峰会
导语:Facebook:这次真的是浏览器的锅~

因用户隐私问题,Facebook 连日来一直处于风口浪尖。

6月1日,据外媒 bleepingcomputer 报道,由于部分浏览器的 CSS 漏洞,恶意的第三方网站同样可以收集 Facebook 的用户信息,如用户的个人资料图片和名字等。

不过这次的锅,得 Firefox、Chrome 等浏览器来背。

这个漏洞来自于 2016 年推出的一个标准 Web 功能,是 CSS 层叠样式表( Cascading Style Sheets )标准中引入的一项新功能,该功能称为“mix-blend-mode”混合模式,通过 iframe 将 Facebook 页面嵌入到第三方网站时候,可以泄露可视内容(也就是像素)。

Firefox、Chrome 现CSS 漏洞  可造成 Facebook 用户信息泄漏

据安全人员分析,此举可以帮助一些广告商将 IP 地址或广告配置文件链接到真实的人身上,从而对用户的在线隐私构成严重威胁。

据悉,CSS混合模式功能支持16种混合模式,并且在Chrome(自v49)和Firefox(自v59以来)中完全支持。

在最新发布的研究中,来自瑞士谷歌的安全工程师 Ruslan Habalov 与安全研究员 DarioWeißer 一起曝光了攻击者如何滥用CSS3混合模式从其他站点获取隐私信息。

该技术依赖于诱使用户访问攻击者将 iframe 嵌入到其他网站的恶意网站。在他们所举的例子中,Facebook的社交小部件中的两个嵌入式 iframe 中招 ,但其他网站也容易受到这个问题的影响。

Habalov和Weißer表示,根据呈现整个DIV堆栈所需的时间,攻击者可以确定用户屏幕上显示的像素颜色。

正常情况下,攻击者无法访问这些 iframe 的数据,这是由于浏览器和远程站点中实施的反点击劫持和其他安全措施,允许其内容通过 iframe 进行嵌入。

Firefox、Chrome 现CSS 漏洞  可造成 Facebook 用户信息泄漏

在线发布的两个演示中,研究人员能够检索用户的Facebook名称,低分辨率版本的头像以及他喜欢的站点。

在实际的攻击中,大约需要20秒来获得用户名,500毫秒来检查任何喜欢/不喜欢的页面的状态,以及大约20分钟来检索Facebook用户的头像。

攻击很容易掩盖,因为iframe可以很容易地移出屏幕,或隐藏在其他元素下面。

研究人员报告称,苹果的Safari浏览器、微软 Internet Explore r和 Edge 浏览器还未受影响,因为它们还没有实现标准“mix-blend-mode”模式功能。

雷锋网 VIA bleepingcomputer

雷峰网原创文章,未经授权禁止转载。详情见转载须知

分享:
相关文章
当月热门文章
最新文章
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说