雖然Facebook仍在處理來自劍橋分析數據醜聞,看來Facebook上的某些個人數據可能已經在某些瀏覽器上被妥協了。
某些瀏覽器中的脆弱性
一群來自Google的研究人員在瀏覽器中發現了一個錯誤鉻合金和Firefox這可能無意中允許Facebook用戶的個人數據被黑客入侵。脆弱性始於2016年。
那些稱為“混合混合模式”的瀏覽器中的側向通道漏洞使得更容易洩露從個人Facebook頁面上的Cross-Origin Iframe到惡意網站的視覺內容。這是黑客可以定位某人在Facebook上的個人信息,例如用戶名,個人資料圖片以及用戶喜歡的頁面。其他瀏覽器,例如Internet Explorer,不使用“混合混合模式”功能。
任何惡意網站都可以輕鬆利用Facebook竊取用戶的個人數據。實際上,問題是如此糟糕,以至於任何允許iframe數據的網站都可以輕鬆攻擊。
該錯誤部分是因為Chrome和Firefox是兩個最受歡迎的網絡瀏覽器之一。大約61%的人使用鉻,約11.5%使用Firefox。
目前尚無跡象表明有多少人被這種方法入侵。
儘管是一個Web安全應用程序,通常可以防止黑客入侵,但該錯誤可能允許黑客避免這種安全性。因此,未經用戶同意,可以將來自Facebook瀏覽器的信息轉移到另一個瀏覽器。
找到錯誤後的未來含義
為了在瀏覽器中發現此缺陷,研究人員多次測試了CSS的特徵。發現該錯誤後,研究人員於2017年5月與瀏覽器聯繫,據報導其他用戶就此問題聯繫了Chrome和Firefox。到2018年,兩個網絡瀏覽器上的錯誤已刪除。
研究人員還與Facebook聯繫了有關漏洞的信息。據報導,他們多次與社交媒體網絡有關該問題。 Facebook終於做出了回應,但是除了刪除端點之外,它沒有太多要做的事情。該錯誤的主要修復程序來自實際的Web瀏覽器。
儘管目前的黑客威脅已經消失,但研究人員認為,將來可能會有更多的資源會受到類似違規的影響。
研究人員寫道:“當涉及到巨大的渲染功能數量CSS3和Webkit已經引入的巨型渲染功能時,混合模式只是冰山一角。” “我們期望在未來幾年中發現越來越多的脆弱性。”
