Уязвимость в Chrome и Firefox в течение года позволяла получать данные о Facebook-профилях

Как установила группа исследователей, с 2016 года в Google Chrome и Mozilla Firefox работала уязвимость, позволяющая сайтам получать информацию о Facebook-профилях посетителей, пишет ArsTechnica. Проблема просуществовала более года, ее исправили в обновлениях: Chrome 63 (вышел в прошлом году) и Firefox 60 (вышел две недели назад), пишут AIN.UA.

Причиной появления уязвимости стала новая функция, появившаяся в языке CSS в 2016 году. Она называется «mix-blend-mode» и вводит смешивание разных цветов. Она же позволяла сайтам получать информацию с Facebook. Использовались iframe-элементы (так встраивают кнопки лайка или логина) и необычный способ обработки данных. Объектом «слива» были просто пиксели — баг не позволял выгружать целые картинки или посты.

Уязвимость в Chrome и Firefox в течение года позволяла получать данные о Facebook-профилях

Как это работает — на примере iframe-элемента от Facebook. Источник: ArsTechnica

Сайты анализировали то, что «видели» на iframe-элементе, помещая сверху дополнительные слои-обработчики, поскольку получить доступ к его содержимому не могли. Извлеченные пиксели можно обработать при помощи системы оптического распознавания. Так они узнавали имена пользователей или их изображения профилей.

Уязвимость в Chrome и Firefox в течение года позволяла получать данные о Facebook-профилях

Пример полученной картинки. Источник: ArsTechnica

Хотя со стороны процесс выглядит достаточно сложно, на выполнение всех операций компьютер мог потратить не более 20 секунд, отмечает издание Slashgear. При этом, обычно в браузерах действует политика безопасности, не позволяющая доменам обмениваться информацией, которую они хостят — но в этом случае правила были нарушены. Браузер Safari не был подвержен уязвимости, а Internet Explorer и Edge просто не было поддержки mix-blend-mode.

Тем не менее, как опасаются исследователи, обнаружившие проблему, это может быть только началом. С усложнением веб-технологий и увеличением возможностей HTML и CSS появится все больше способов получать доступ к чужим данным.


Михаил Сапитон, AIN

Коды для вставки в блог\форум

blog comments powered by Disqus


Вспомним другие новости из этого раздела?


Soft

←+Ctrl+→

Интересные новости
В Google Chrome теперь можно отправлять веб-страницы на другие устройстваВ Google Chrome теперь можно отправлять веб-страницы на другие устройства
iOS 13 выйдет 19 сентября, iPadOS — 30 сентября, macOS Catalina задерживаетсяiOS 13 выйдет 19 сентября, iPadOS — 30 сентября, macOS Catalina задерживается
Блок рекламы


Похожие новости

В Google Chrome теперь можно отправлять веб-страницы на другие устройстваВ Google Chrome теперь можно отправлять веб-страницы на другие устройства
Вышла новая версия Firefox с включенной по умолчанию защитой от отслеживанияВышла новая версия Firefox с включенной по умолчанию защитой от отслеживания
Chrome получил нативную поддержку lazy loadingChrome получил нативную поддержку lazy loading
Chrome и Firefox перестанут показывать в адресной строке названия компанийChrome и Firefox перестанут показывать в адресной строке названия компаний
Google забанит расширения для Chrome, которые собирают много данных об активности пользователей
Google закроет лазейку в Chrome, позволяющую определять включенный режим инкогнитоGoogle закроет лазейку в Chrome, позволяющую определять включенный режим инкогнито
Google увеличил размер выплат за уязвимости, найденные в ChromeGoogle увеличил размер выплат за уязвимости, найденные в Chrome
Mozilla добавит в Firefox функцию защиты от трекеров соцсетейMozilla добавит в Firefox функцию защиты от трекеров соцсетей
Adblock Plus: блокировщик Chrome не спасёт от навязчивой рекламыAdblock Plus: блокировщик Chrome не спасёт от навязчивой рекламы
Новое официальное расширение Chrome помечает как подозрительные небольшие сайтыНовое официальное расширение Chrome помечает как подозрительные небольшие сайты
Последние новости

Подгружаем последние новости