Уязвимость в Chrome и Firefox в течение года позволяла получать данные о Facebook-профилях

Как установила группа исследователей, с 2016 года в Google Chrome и Mozilla Firefox работала уязвимость, позволяющая сайтам получать информацию о Facebook-профилях посетителей, пишет ArsTechnica. Проблема просуществовала более года, ее исправили в обновлениях: Chrome 63 (вышел в прошлом году) и Firefox 60 (вышел две недели назад), пишут AIN.UA.

Причиной появления уязвимости стала новая функция, появившаяся в языке CSS в 2016 году. Она называется «mix-blend-mode» и вводит смешивание разных цветов. Она же позволяла сайтам получать информацию с Facebook. Использовались iframe-элементы (так встраивают кнопки лайка или логина) и необычный способ обработки данных. Объектом «слива» были просто пиксели — баг не позволял выгружать целые картинки или посты.

Уязвимость в Chrome и Firefox в течение года позволяла получать данные о Facebook-профилях

Как это работает — на примере iframe-элемента от Facebook. Источник: ArsTechnica

Сайты анализировали то, что «видели» на iframe-элементе, помещая сверху дополнительные слои-обработчики, поскольку получить доступ к его содержимому не могли. Извлеченные пиксели можно обработать при помощи системы оптического распознавания. Так они узнавали имена пользователей или их изображения профилей.

Уязвимость в Chrome и Firefox в течение года позволяла получать данные о Facebook-профилях

Пример полученной картинки. Источник: ArsTechnica

Хотя со стороны процесс выглядит достаточно сложно, на выполнение всех операций компьютер мог потратить не более 20 секунд, отмечает издание Slashgear. При этом, обычно в браузерах действует политика безопасности, не позволяющая доменам обмениваться информацией, которую они хостят — но в этом случае правила были нарушены. Браузер Safari не был подвержен уязвимости, а Internet Explorer и Edge просто не было поддержки mix-blend-mode.

Тем не менее, как опасаются исследователи, обнаружившие проблему, это может быть только началом. С усложнением веб-технологий и увеличением возможностей HTML и CSS появится все больше способов получать доступ к чужим данным.


Михаил Сапитон, AIN

Коды для вставки в блог\форум




Интересные новости
В ядре Linux 5.13 появится начальная поддержка ARM-процессора Apple M1В ядре Linux 5.13 появится начальная поддержка ARM-процессора Apple M1
Соучредитель Adobe Чарльз Гешке почил в возрасте 81 годаСоучредитель Adobe Чарльз Гешке почил в возрасте 81 года
Google выпустила Chrome 90, в нём протокол HTTPS используется по умолчаниюGoogle выпустила Chrome 90, в нём протокол HTTPS используется по умолчанию
Microsoft намерена поглотить создателя Siri за $16 млрдMicrosoft намерена поглотить создателя Siri за $16 млрд
Пользователи Chrome смогут делиться ссылками на определённые части текста веб-страницПользователи Chrome смогут делиться ссылками на определённые части текста веб-страниц
Блок рекламы


Похожие новости

Соучредитель Adobe Чарльз Гешке почил в возрасте 81 годаСоучредитель Adobe Чарльз Гешке почил в возрасте 81 года
Google Chrome подключил новый инструментGoogle Chrome подключил новый инструмент
Пользователи Chrome смогут делиться ссылками на определённые части текста веб-страницПользователи Chrome смогут делиться ссылками на определённые части текста веб-страниц
Google выпустила Chrome 90, в нём протокол HTTPS используется по умолчаниюGoogle выпустила Chrome 90, в нём протокол HTTPS используется по умолчанию
Google упростила тестирование новых функций Chrome при помощи нового раздела ExperimentsGoogle упростила тестирование новых функций Chrome при помощи нового раздела Experiments
Google выпустила браузер Chrome 89 с поиском по вкладкам, обновлёнными пользовательскими профилями и списками для чтенияGoogle выпустила браузер Chrome 89 с поиском по вкладкам, обновлёнными пользовательскими профилями и списками для чтения
В антивирусе Microsoft Defender исправлена уязвимость 12-летней давностиВ антивирусе Microsoft Defender исправлена уязвимость 12-летней давности
Google Chrome: как проверить безопасность информации в браузереGoogle Chrome: как проверить безопасность информации в браузере
Google уберёт из Chrome 89 поддержку некоторых старых процессоровGoogle уберёт из Chrome 89 поддержку некоторых старых процессоров
Mozilla прекращает разработку проектов Voice Fill и Firefox VoiceMozilla прекращает разработку проектов Voice Fill и Firefox Voice
Последние новости

Подгружаем последние новости