Chrome, Firefox: L’errore CSS3 potrebbe aver permesso agli aggressori di catturare i dati degli utenti di Facebook…

FacebookTwitterLinkedInPinterest


… i ricercatori hanno rivelato una tecnica complicata che utilizza una funzione CSS3 per consentire agli aggressori di recuperare i dati degli utenti di Facebook.

Chrome e Firefox hanno recentemente ricevuto patch per un bug che consentiva agli aggressori di rivelare nomi utente, immagini del profilo e Mi piace di Facebook quando gli utenti visitavano un sito di attacco.
Il bug è causato dal modo in cui Chrome e Firefox hanno implementato una funzionalità di Cascading Style Sheets (CSS) chiamata “mix-blend-mode”, introdotta nello standard CSS3 nel 2016.
La funzione CSS3 nei browser aveva una vulnerabilità di canale laterale che trapelava dal contenuto visivo, come le immagini dei profili di Facebook, dagli iframe di origine incrociata.
Ruslan Habalov, un ricercatore di sicurezza di Google, ha spiegato in un blog giovedì che un utente malintenzionato potrebbe creare un sito Web malevolo che sfrutta il bug del browser per demonizzare gli utenti di Facebook semplicemente facendoli visitare il sito mentre si è connessi a Facebook.
Habalov, che ha scoperto il bug del ricercatore di sicurezza Dario Weißer, nota che la loro dimostrazione si è concentrata su Facebook, ma il difetto colpisce molti altri siti con “endpoint” come il pulsante di accesso di Facebook che può essere incorporato in un iframe.
Weißer ha spiegato come l’attacco ha funzionato con Ars Technica. L’attacco utilizza un iframe che si collega a questi endpoint di Facebook e quindi utilizza la funzione mix-blend-mode per dedurre il contenuto visivo dall’iframe targetizzato durante il rendering dei suoi elementi.
“Non possiamo accedere direttamente ai contenuti dell’iframe, tuttavia possiamo mettere degli overlay sull’iframe che fanno una sorta di interazione grafica con i pixel sottostanti”, ha detto Weißer.
“Dato che questi overlay sono controllati dal sito dell’attaccante, è possibile misurare il tempo di interazione tra queste interazioni grafiche.”
Weißer ha aggiunto che alcune delle modalità mix-mix richiedono una quantità variabile di tempo in base al colore del pixel sottostante.
“Se il colore del pixel testato ha colore X, il processo di rendering può richiedere più tempo rispetto al colore Y.
La perdita consente (a noi) di determinare il colore dei singoli pixel. Non perdiamo l’HTML, ma i contenuti visivi dell’iframe mirato. ”
Google ha effettivamente implementato una correzione in Chrome 63 alla fine dello scorso anno, mentre Mozilla lo ha corretto con Firefox 60 due settimane fa.
Nel frattempo Internet Explorer e Microsoft Edge non erano vulnerabili perché non supportavano la modalità mix-blend.
Safari, per qualche motivo sconosciuto, non è stato influenzato.
I ricercatori hanno segnalato il problema anche a Facebook.
Tuttavia, il social network ha stabilito che era impossibile applicare una patch perché avrebbe richiesto la rimozione di tutti i suoi endpoint.

Ti é piaciuto questo Post?

Clicca sulle stelle per votarlo!

Average rating / 5. Vote count:

Ancora nessun voto. Vota tu per primo!

As you found this post useful...

Follow us on social media!

(Visitato 137 times, 1 visite oggi)

4 Commenti

  1. Appreciating the commitment you put into your blog and detailed information you present.
    It’s good to come across a blog every once in a while that isn’t the
    same unwanted rehashed material. Fantastic read! I’ve bookmarked your site and I’m adding your RSS feeds to my Google account.

Lascia un commento

Connetti con




Il tuo indirizzo email non sarà pubblicato.