Chrome og Firefox har tilladt data-lækage via social-medie-plugins

Illustration: Evonide
Browserne Chrome og Firefox har muligvis lækket data. Med billedgenkendelsesteknikker anvendt på social-medie-plugins, samt et iframe tag, har det været muligt at opsnappe Facebook-billede, navn og 'likes'.

Forskere fra Evonide har påvist et side-channel-sikkerhedshul i browserne Chrome og Firefox. Metoden benytter billedgenkendelsesteknikker på social-medie-plugins til andre hjemmesider. Det var muligt at opsnappe Facebook-billede, navn og 'likes'.

Det skriver Ars Technica

Internetbrowserne Firefox og Google Chrome implementerede i 2016 nye standarder for 'cascading style sheets', og en af de nye tilføjelser kaldet 'mix-blend-mode' tillod lækage af data, som ellers var hostet på Facebook. Eksempelvis navn, billede, og 'likes'.

Et HTML 'iframe tag' bruges til at indlagre et andet dokument i en side. Hacking-metoden omfatter et iframe-link til de social-medie-plugins, som Facebook gør tilgængelig på websider for at give brugerne mulighed for at logge ind på Facebook og 'like' siden.

Sammen med iframe brugte forskerne skræddersyet kode til at indsamle data. De indsamlede farver fra hver pixel, og med optiske bogstavgenkendelsesteknikker var det muligt at læse, hvad der stod skrevet. Iframe kan bruges på Google Chrome, Internet Explorer / Edge, Firefox, Safari og Opera.

Metoden var i stand til at opsnappe like-status for enhver given hjemmeside på et enkelt sekund. Det tog 20 sekunder at opsnappe navn og fem minutter at opsnappe en grov kopi af brugerens profilbillede.

Smuthul igennem Same-Origin Policy

Normalt ville indhold delt på et domæne ikke blive tilgængeligt på et andet domæne. Dette er en del af Mozillas same-origin policy som ifølge Mozilla er en »kritisk sikkerhedsmekanisme til at isolere potentielt skadelige dokumenter«.

»CSS, HTML, and JavaScript har en hel masse features til at lave grafik,« udtaler en af forskerne til Ars Technica.

»Jeg ville ikke være overrasket, hvis der er lignende, men endnu ukendte, problemer,« siger han.

Sikkerhedshullet blev lukket i slutningen af sidste år med Chromes version 63 og for to uger siden i Firefox version 60.

»Vi har kun demonstreret angrebspotentiale mod Facebook ... Men over hele interenettet er der tonsvis af andre sårbare ressourcer, som kan påvirkes af angreb som dette efter en lignende metode. Vi forudser desværre, at flere og flere af disse sårbarheder vil blive opdaget over de næste år,« skriver en af forskerne i et blog-indlæg.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize