Chrome і Firefox зливали дані про користувачів Facebook
З 2016 року в Google Chrome і Mozilla Firefox працювала вразливість, що дозволяє сайтам отримувати інформацію про Facebook-профілі відвідувачів.
Про це повідомляє ain.ua з посиланням на ArsTechnica.
Проблема проіснувала більше року, її виправили в оновленнях: Chrome 63 (вийшов минулого року) і Firefox 60 (вийшов два тижні тому).
Причиною появи уразливості стала нова функція, що з'явилася в мові CSS в 2016 році. Вона називається "mix-blend-mode" та вводить змішування різних кольорів. Вона ж дозволяла сайтам отримувати інформацію з Facebook.
Використовувалися iframe-елементи (так вбудовують кнопки лайка або логіна) та незвичайний спосіб обробки даних. Об'єктом "зливу" були просто пікселі — баг не дозволяв вивантажувати цілі картинки або пости.
Сайти аналізували те, що "бачили" на iframe-елементі, поміщаючи зверху додаткові шари-обробники, оскільки отримати доступ до його вмісту не могли.
Витягнуті пікселі можна обробити за допомогою системи оптичного розпізнавання. Так вони дізнавалися імена користувачів або їх зображення профілів.
Хоча з боку процес виглядає досить складно, на виконання всіх операцій комп'ютер міг витратити не більше 20 секунд, відзначає видання Slashgear.
При цьому, зазвичай в браузерах діє політика безпеки, що не дозволяє доменам обмінюватися інформацією, яку вони хостять — але в цьому випадку правила були порушені.
Браузер Safari не піддавався уразливості, а у Internet Explorer і Edge просто не було підтримки mix-blend-mode.
Проте, як побоюються дослідники, які виявили проблему, з ускладненням веб-технологій і збільшенням можливостей HTML і CSS з'явиться все більше способів отримувати доступ до чужих даних.
Еще никто не комментировал данный материал.
Написать комментарий