O vulnerabilitate a browserelor Firefox și Chrome a existat în implementarea funcției CSS3 numită „mix-blend-mode”. Aceasta a permis unui atacator să scoată din anonimat un utilizator Facebook, făcându-l să viziteze un site special creat.

Defecțiunea, rezolvată acum, a fost descoperită anul trecut de către cercetătorii Dario Weißer și Ruslan Habalov.

Dovada conceptului creat de cercetători le-a permis să recolteze date cum ar fi imaginea de profil, numele de utilizator și multe altele, au afirmat cercetătorii într-o postare de pe un blog. Toate acestea se pot face în fundal atunci când un utilizator vizitează un site rău intenționat.

Scurgerea datelor vizuale se poate avea loc pe site-urile web ce utilizează iFrames ce face legătura cu Facebook sub formă de pluginuri sociale și butoane de conectare. Din cauza unei caracteristici de securitate, site-urile web nu pot accesa direct conținutul iframe. Cercetătorii pot extrage informații creând o suprapunere pe iFrame de origine transversală pentru a interacționa cu pixelii de bază.

POC durează aproximativ 20 de secunde pentru a dezvălui un nume de utilizator, aproximativ 5 minute pentru o versiune vagă a imaginii de profil și aproximativ 500 de milisecunde pentru a verifica starea similară a unui anumit site. Cu toate acestea, utilizatorul țintă ar trebui să fie conectat la contul lor Facebook pentru ca metoda să funcționeze.

Atât Google, cât și Mozilla au fost notificate privat de către cercetători.

Vulnerabilitatea a fost rezolvată pentru Google Chrome în decembrie anul trecut (versiunea 63). Pentru Firefox, ”plasturele” a fost pus la dispoziție acum două săptămâni (versiunea 60).

LĂSAȚI UN MESAJ

Please enter your comment!
Please enter your name here

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.