因用戶(hù)隱私問(wèn)題，F(xiàn)acebook 連日來(lái)一直處于風(fēng)口浪尖。

6月1日，據(jù)外媒 bleepingcomputer 報(bào)道，由于部分瀏覽器的 CSS 漏洞，惡意的第三方網(wǎng)站同樣可以收集 Facebook 的用戶(hù)信息，如用戶(hù)的個(gè)人資料圖片和名字等。

不過(guò)這次的鍋，得 Firefox、Chrome 等瀏覽器來(lái)背。

這個(gè)漏洞來(lái)自于 2016 年推出的一個(gè)標(biāo)準(zhǔn) Web 功能，是 CSS 層疊樣式表( Cascading Style Sheets )標(biāo)準(zhǔn)中引入的一項(xiàng)新功能，該功能稱(chēng)為“mix-blend-mode”混合模式，通過(guò) iframe 將 Facebook 頁(yè)面嵌入到第三方網(wǎng)站時(shí)候，可以泄露可視內(nèi)容（也就是像素）。

據(jù)安全人員分析，此舉可以幫助一些廣告商將 IP 地址或廣告配置文件鏈接到真實(shí)的人身上，從而對(duì)用戶(hù)的在線隱私構(gòu)成嚴(yán)重威脅。

據(jù)悉，CSS混合模式功能支持16種混合模式，并且在Chrome（自v49）和Firefox（自v59以來(lái)）中完全支持。

在最新發(fā)布的研究中，來(lái)自瑞士谷歌的安全工程師 Ruslan Habalov 與安全研究員 DarioWei?er 一起曝光了攻擊者如何濫用CSS3混合模式從其他站點(diǎn)獲取隱私信息。

該技術(shù)依賴(lài)于誘使用戶(hù)訪問(wèn)攻擊者將 iframe 嵌入到其他網(wǎng)站的惡意網(wǎng)站。在他們所舉的例子中，F(xiàn)acebook的社交小部件中的兩個(gè)嵌入式 iframe 中招 ，但其他網(wǎng)站也容易受到這個(gè)問(wèn)題的影響。

Habalov和Wei?er表示，根據(jù)呈現(xiàn)整個(gè)DIV堆棧所需的時(shí)間，攻擊者可以確定用戶(hù)屏幕上顯示的像素顏色。

正常情況下，攻擊者無(wú)法訪問(wèn)這些 iframe 的數(shù)據(jù)，這是由于瀏覽器和遠(yuǎn)程站點(diǎn)中實(shí)施的反點(diǎn)擊劫持和其他安全措施，允許其內(nèi)容通過(guò) iframe 進(jìn)行嵌入。

在線發(fā)布的兩個(gè)演示中，研究人員能夠檢索用戶(hù)的Facebook名稱(chēng)，低分辨率版本的頭像以及他喜歡的站點(diǎn)。

在實(shí)際的攻擊中，大約需要20秒來(lái)獲得用戶(hù)名，500毫秒來(lái)檢查任何喜歡/不喜歡的頁(yè)面的狀態(tài)，以及大約20分鐘來(lái)檢索Facebook用戶(hù)的頭像。

攻擊很容易掩蓋，因?yàn)閕frame可以很容易地移出屏幕，或隱藏在其他元素下面。

研究人員報(bào)告稱(chēng)，蘋(píng)果的Safari瀏覽器、微軟 Internet Explore r和 Edge 瀏覽器還未受影響，因?yàn)樗鼈冞€沒(méi)有實(shí)現(xiàn)標(biāo)準(zhǔn)“mix-blend-mode”模式功能。

雷鋒網(wǎng) VIA bleepingcomputer

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。