AgrandarRuslan Habalov
Durante más de un año, Mozilla Firefox y Google Chrome pueden tener nombres de usuario de Facebook, imágenes de perfil y Me gusta filtrados de los usuarios si los navegadores de los usuarios visitaron sitios web maliciosos que empleaban un pirateo de vanguardia, dijeron los investigadores el jueves.
Los datos podrían extraerse a través de lo que se conoce como vulnerabilidad de canal lateral en la implementación de nuevos navegadores normas para hojas de estilo en cascada introducidas en 2016. Una de las Nuevas características conocidas como el “modo de mezcla-mezcla” contenido visual filtrado alojado en Facebook a sitios web que incluyen un iframe que enlaza a y algún código inteligente para capturar los datos. Normalmente, una seguridad El concepto conocido como la política del mismo origen prohíbe el contenido alojado en un dominio estará disponible para un dominio diferente. La vulnerabilidad fue significativo porque permitió a los piratas informáticos evitar esta roca madre principio para dos de los navegadores de Internet más utilizados.
La fuga fue descubierta independientemente por dos investigaciones diferentes equipos, y se solucionó a fines del año pasado en la versión 63 de Chrome y Hace dos semanas en Firefox 60. Mientras que los navegadores actualizados ya no representan una amenaza para la privacidad del usuario, uno de los investigadores que descubrió la vulnerabilidad dijo que el cada vez más poderoso capacidades gráficas que se agregan en los estándares HTML5 y CSS es probable que hagan posibles hacks similares en el futuro.
Más por venir
“CSS, HTML y JavaScript tienen muchas características diferentes que hacer material gráfico “, dijo el investigador independiente Dario Weißer a Ars. “YO no se sorprendería si hay similares, pero desconocidos, cuestiones.”
Junto con el investigador Ruslan Habalov, Weißer desarrolló un exploit de prueba de concepto que permitió a los sitios web extraer el Nombres de usuario de Facebook, fotos de perfil y Me gusta de Chrome y Usuarios de Firefox que visitaron mientras estaban conectados a Facebook. El PoC usó un iframe que se vinculaba con complementos sociales que Facebook crea disponible para que los sitios web muestren el botón de inicio de sesión de Facebook y Me gusta en sus páginas. Mientras que la política del mismo origen impidió el PoC de acceder al HTML de Facebook y otra codificación, el exploit fue capaz de usar la función mix-blend-mode para inferir esos detalles de las imágenes alojadas en los complementos de Facebook.
Weißer explicó:
No podemos acceder al contenido del iframe directamente. Sin embargo, podemos poner superposiciones sobre el iframe que hacen algún tipo de gráfico interacción con los píxeles subyacentes. Dado que estas superposiciones son controlado por el sitio del atacante, es posible medir cómo Cuánto tardan estas interacciones gráficas. Algunos de los modos mix-blend requieren una cantidad de tiempo variable basada en el color del Píxeles subyacentes. Si el color del píxel probado tiene color X, el proceso de renderizado puede llevar más tiempo que el color Y. La fuga nos permite [determinar] el color de los píxeles individuales. Nosotros no pierde el HTML, pero los contenidos visuales del iframe objetivo.
Al recuperar los colores de cada píxel, los atacantes pueden inferir imagen y luego inspeccionarla manualmente o usar óptica técnicas de reconocimiento de caracteres para leer las palabras que se muestran en el imágenes El PoC necesitó menos de un segundo para verificar estado de un sitio web determinado, 20 segundos para extraer el usuario de un visitante nombre, y cinco minutos para extraer una representación cruda del foto de perfil del visitante.
Las siguientes imágenes muestran cómo funcionó la extracción:
Ruslan Habalov
Ruslan Habalov
Para cuando Weißer y Habalov descubrieron el canal lateral en Abril de 2017, un investigador separado llamado Max May ya había lo informó en la lista de correo de Chromium, sin que Weißer lo supiera y Habalov Weißer y Habalov informaron en privado la vulnerabilidad a Facebook, Google y los creadores de la biblioteca de gráficos Skia que Chrome utiliza. Skia reparó la falla el mismo mes, y Google emitió un parche en diciembre.
Mientras tanto, Facebook dijo que no era factible parchear el vulnerabilidad. Debido a un error, Weißer y Habalov no lo hicieron notificar a Mozilla de la falla hasta noviembre de 2017, un lapso que explica por qué una solución de Firefox no estuvo disponible hasta dos semanas hace.
Weißer dijo que Internet Explorer y Edge no se vieron afectados porque no implementaron el modo mezclar-mezclar-mezclar. Dijo que Safari también no afectado, pero no estaba seguro de por qué. El investigador también dijo esto el error probablemente no afectó a muchos sitios grandes más allá de Facebook, porque Por lo general, emplean protecciones en todo el sitio contra ataques de iframe. (Facebook tiene protecciones de iframe pero no están habilitadas por sus complementos sociales.) Aunque este error en particular ahora es corregido en los navegadores, sin embargo, fallas similares del navegador que aún no ser divulgado públicamente probablemente afecte a otras propiedades.
“Solo hemos demostrado el potencial de ataque contra Facebook “, escribió Habalov en una publicación de blog que explica el explotación de canal lateral en detalle. “Sin embargo, en toda la Web, hay son toneladas de otros recursos sensibles que podrían verse afectados por ataques como este de manera similar. Desafortunadamente nosotros anticipar más y más de tales vulnerabilidades por descubrir en los años venideros “.
Publicación actualizada en el penúltimo párrafo para agregar detalles sobre protecciones de iframe.
