Уязвимость в Chrome и Firefox в течение года позволяла получать данные о Facebook-профилях

Как установила группа исследователей, с 2016 года в Google Chrome и Mozilla Firefox работала уязвимость, позволяющая сайтам получать информацию о Facebook-профилях посетителей, пишет ArsTechnica. Проблема просуществовала более года, ее исправили в обновлениях: Chrome 63 (вышел в прошлом году) и Firefox 60 (вышел две недели назад), пишут AIN.UA.

Причиной появления уязвимости стала новая функция, появившаяся в языке CSS в 2016 году. Она называется «mix-blend-mode» и вводит смешивание разных цветов. Она же позволяла сайтам получать информацию с Facebook. Использовались iframe-элементы (так встраивают кнопки лайка или логина) и необычный способ обработки данных. Объектом «слива» были просто пиксели — баг не позволял выгружать целые картинки или посты.

Уязвимость в Chrome и Firefox в течение года позволяла получать данные о Facebook-профилях

Как это работает — на примере iframe-элемента от Facebook. Источник: ArsTechnica

Сайты анализировали то, что «видели» на iframe-элементе, помещая сверху дополнительные слои-обработчики, поскольку получить доступ к его содержимому не могли. Извлеченные пиксели можно обработать при помощи системы оптического распознавания. Так они узнавали имена пользователей или их изображения профилей.

Уязвимость в Chrome и Firefox в течение года позволяла получать данные о Facebook-профилях

Пример полученной картинки. Источник: ArsTechnica

Хотя со стороны процесс выглядит достаточно сложно, на выполнение всех операций компьютер мог потратить не более 20 секунд, отмечает издание Slashgear. При этом, обычно в браузерах действует политика безопасности, не позволяющая доменам обмениваться информацией, которую они хостят — но в этом случае правила были нарушены. Браузер Safari не был подвержен уязвимости, а Internet Explorer и Edge просто не было поддержки mix-blend-mode.

Тем не менее, как опасаются исследователи, обнаружившие проблему, это может быть только началом. С усложнением веб-технологий и увеличением возможностей HTML и CSS появится все больше способов получать доступ к чужим данным.


Михаил Сапитон, AIN


!

Если для Вас конкретно эта новость оказалась важной или интересной - пожалуйста, поделитесь ею в своей любимой социальной сети с помощью кнопок, расположенных под этим текстом. Это поможет нам в будущем делать более качественную подборку материалов, исходя из Ваших потребностей\интересов.




Коды для вставки в блог\форум

blog comments powered by Disqus


Вспомним другие новости из этого раздела?


Soft

←+Ctrl+→

Интересные новости
Рейтинг популярности языков программирования: Swift выпал из первой десяткиРейтинг популярности языков программирования: Swift выпал из первой десятки
Блок рекламы


Похожие новости

Google Chrome стал доступен на VR-устройствах Daydream ViewGoogle Chrome стал доступен на VR-устройствах Daydream View
Google готовит редизайн браузера ChromeGoogle готовит редизайн браузера Chrome
В Google Chrome появится встроенный определитель «тяжёлых» страницВ Google Chrome появится встроенный определитель «тяжёлых» страниц
Как проверить безопасность ваших расширений в Google ChromeКак проверить безопасность ваших расширений в Google Chrome
Google перестанет отображать индикатор безопасного соединения в ChromeGoogle перестанет отображать индикатор безопасного соединения в Chrome
Google запретит установку расширений для Chrome со сторонних сайтовGoogle запретит установку расширений для Chrome со сторонних сайтов
Уязвимость в клиенте Steam на протяжение 10 лет давала доступ к компьютерам пользователей
Обновление Google Chrome позволит авторизоваться на сайтах без паролей
Google и Microsoft нашли новую процессорную уязвимость. Патч может снизить производительность
В Chrome OS появилась поддержка Steam и Linux-приложенийВ Chrome OS появилась поддержка Steam и Linux-приложений
Последние новости

Подгружаем последние новости