Ο Chrome και ο Firefox διέρρεαν ονόματα προφίλ του Facebook από το 2016

0
88

Το Facebook βρίσκεται στο επίκεντρο των συζητήσεων το τελευταίο διάστημα, όσον αφορά την διαχείριση των προσωπικών δεδομένων. Στη τελευταία και πιο πρόσφατη περίπτωση που αναφερόμαστε μέσω του συγκεκριμένου άρθρου, δεν έφταιγε το Facebook όμως. Η ευπάθεια, επέτρεπε σε επιβλαβή third-party sites, να λάβουν πληροφορίες του προφίλ ενός χρήστη του Facebook, όπως την φωτογραφία του προφίλ και το όνομα. Το ειρωνικό του θέματος, είναι ότι η ευπάθεια προερχόταν από ένα standard Web feature που έκανε το ντεμπούτο του πίσω στο 2016.

Είναι ακριβώς αυτό που αποκαλούμε side-channel attack, καθώς δεν προκλήθηκε από μια ευπάθεια στο software αλλά από το σύστημα στο οποίο έτρεχε. Σε αυτήν την περίπτωση, η ευπάθεια προκλήθηκε από ένα νέο feature που εισήχθη στο CSS (Cascading Style Sheet) standard το 2016. Αποκαλούνταν “mix-blend-mode” και διέρρεε οπτικό περιεχόμενο, -τεχνικά τα pixels σε ένα third-party website που ενσωμάτωνε το Facebook σε ένα iFrame.

Αξίζει να σημειωθεί πάντως ότι η ευπάθεια (που έχει πλέον διορθωθεί) δεν εξήγαγε εικόνες ή κείμενο από το Facebook. Αντίθετα ανέλυε τα pixel και έψαχνε για χαρακτήρες προκειμένου να σχηματίσει λέξεις με νόημα.Μπορεί να φαίνεται μεγάλη διαδικασία, χρειάζεται όμως ελάχιστα δευτερόλεπτα για έναν υπολογιστή να κάνει όλη την διεργασία.

Σύμφωνα με το Ars Technica, οι ερευνητές ασφαλείας Dario Weißer και Ruslan Habalov, υπέδειξαν την ευπάθεια στην Google και στην Mozilla, που με τη σειρά τους έκαναν patched τους browsers για να μπλοκάρουν μελλοντικές προσπάθειες. Για άγνωστους λόγους, ο Safari Browser δεν επηρεάστηκε, όπως ούτε και ο Edge της Microsoft, επειδή δεν ενσωμάτωνε αυτό το feature. Αν και η συγκεκριμένη side-channel vulnerability έχει πλέον διορθωθεί, οι ερευνητές αναφέρουν ότι μπορεί να είναι μόνο η αρχή. Και καθώς οι τεχνολογίες του web γίνονται πιο προηγμένες, τέτοιες ευπάθειες μπορούν να εμφανιστούν συχνότερα.

Let's block ads! (Why?)