據外媒SlashGear報道,近日隱私問題讓Facebook處於風口浪尖。然而,有時候,這可能不完全是Facebook的錯。最近的一篇報道指出,固有漏洞允許惡意的第三方網站收集Facebook資訊,如使用者的個人資料圖片和名字等。諷刺的是,這個漏洞來自於2016年推出的一個標準Web功能。
這就是所謂的旁路攻擊(Side Channel Attacks),因為它不是由軟體本身的缺陷造成的,而是由它執行的系統造成的。在這個案例中,該漏洞歸因於2016年CSS層疊樣式表(Cascading Style Sheets)標準中引入的一項新功能。該功能稱為“mix-blend-mode”混合樣式,透過iframe將Facebook頁面嵌入到第三方網站時候,可以洩露可視內容(從技術角度來說就是畫素)。
通常情況下,這不應該是因為網頁瀏覽器實施的同源策略。當然,如果是這樣的話,那麼這個漏洞首先就不存在了。該漏洞不會直接從Facebook配置檔案中提取影象或文字。相反,它分析每個畫素,併在文字情況下使用光學字元識別來提取有意義的單詞,如姓名或帖子。這可能看起來像很多工作,但實際上只需要20秒鐘就能完成。
據Ars Technica報道,安全研究人員DarioWeißer和Ruslan Habalov披露了Google和Firefox的漏洞,Google已經修複了瀏覽器以阻止未來的嘗試。但是,儘管如此,2016年至2017年年末仍有許多人不受保護。研究人員報告稱,由於原因尚不清楚,蘋果的Safari瀏覽器、微軟Internet Explorer和Edge瀏覽器也未受影響,因為它們甚至沒有實現標準“mix-blend-mode”樣式功能。
* 來源:cnBeta.COM
更多資訊
◈ Mozilla 邀請使用者測試 DNS over HTTPS
http://t.cn/R10JDyH
◈ 外貿公司電子郵箱被黑,6萬多美金貨款進了“駭客”賬戶
http://t.cn/R10JDgE
◈ AWS S3再出問題 本田印度50000客戶的詳細資料被洩露
http://t.cn/R10Jk09
◈ 人民日報海外版:保護個人資訊還需加把勁
http://t.cn/R10JFc1
(資訊來源於網路,安華金和蒐集整理)