关注网络与数据安全

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:389710688) ,欢迎各位同仁加入!有其它问题,请联系站长“网路游侠”,QQ:55984512


报道称Chrome、Firefox自2016年以来一直在泄漏Facebook个人资料

2018-06-02 08:12 推荐: 浏览: 76字号:

摘要: 据外媒SlashGear报道,近日隐私问题让Facebook处于风口浪尖。然而,有时候,这可能不完全是Facebook的错。最近的一篇报道指出,固有漏洞允许恶意的第三方网站收集Facebook信息,如用户的个人资料图片和名字等。讽刺的是,这个漏洞来自于2016...

据外媒SlashGear报道,近日隐私问题让Facebook处于风口浪尖。然而,有时候,这可能不完全是Facebook的错。最近的一篇报道指出,固有漏洞允许恶意的第三方网站收集Facebook信息,如用户的个人资料图片和名字等。讽刺的是,这个漏洞来自于2016年推出的一个标准Web功能。

这就是所谓的旁路攻击(Side Channel Attacks),因为它不是由软件本身的缺陷造成的,而是由它运行的系统造成的。在这个案例中,该漏洞归因于2016年CSS层叠样式表(Cascading Style Sheets)标准中引入的一项新功能。该功能称为“mix-blend-mode”混合模式,通过iframe将Facebook页面嵌入到第三方网站时候,可以泄露可视内容(从技术角度来说就是像素)。

通常情况下,这不应该是因为网页浏览器实施的同源策略。当然,如果是这样的话,那么这个漏洞首先就不存在了。该漏洞不会直接从Facebook配置文件中提取图像或文本。相反,它分析每个像素,并在文本情况下使用光学字符识别来提取有意义的单词,如姓名或帖子。这可能看起来像很多工作,但实际上只需要20秒钟就能完成。

据Ars Technica报道,安全研究人员DarioWeißer和Ruslan Habalov披露了Google和Firefox的漏洞,Google已经修复了浏览器以阻止未来的尝试。但是,尽管如此,2016年至2017年年末仍有许多人不受保护。研究人员报告称,由于原因尚不清楚,苹果的Safari浏览器、微软Internet Explorer和Edge浏览器也未受影响,因为它们甚至没有实现标准“mix-blend-mode”模式功能。

* 来源:cnBeta.COM

更多资讯

◈ Mozilla 邀请用户测试 DNS over HTTPS

◈ 外贸公司电子邮箱被黑,6万多美金货款进了“黑客”账户

◈ AWS S3再出问题 本田印度50000客户的详细数据被泄露

◈ 人民日报海外版:保护个人信息还需加把劲

(信息来源于网络,安华金和搜集整理)

联系站长租广告位!

中国首席信息安全官
Copy link