虽然Facebook仍在处理来自剑桥分析数据丑闻,看来Facebook上的某些个人数据可能已经在某些浏览器上被妥协了。
某些浏览器中的脆弱性
一群来自Google的研究人员在浏览器中发现了一个错误铬合金和Firefox这可能无意中允许Facebook用户的个人数据被黑客入侵。脆弱性始于2016年。
那些称为“混合混合模式”的浏览器中的侧向通道漏洞使得更容易泄露从个人Facebook页面上的Cross-Origin Iframe到恶意网站的视觉内容。这是黑客可以定位某人在Facebook上的个人信息,例如用户名,个人资料图片以及用户喜欢的页面。其他浏览器,例如Internet Explorer,不使用“混合混合模式”功能。
任何恶意网站都可以轻松利用Facebook窃取用户的个人数据。实际上,问题是如此糟糕,以至于任何允许iframe数据的网站都可以轻松攻击。
该错误部分是因为Chrome和Firefox是两个最受欢迎的网络浏览器之一。大约61%的人使用铬,约11.5%使用Firefox。
目前尚无迹象表明有多少人被这种方法入侵。
尽管是一个Web安全应用程序,通常可以防止黑客入侵,但该错误可能允许黑客避免这种安全性。因此,未经用户同意,可以将来自Facebook浏览器的信息转移到另一个浏览器。
找到错误后的未来含义
为了在浏览器中发现此缺陷,研究人员多次测试了CSS的特征。发现该错误后,研究人员于2017年5月与浏览器联系,据报道其他用户就此问题联系了Chrome和Firefox。到2018年,两个网络浏览器上的错误已删除。
研究人员还与Facebook联系了有关漏洞的信息。据报道,他们多次与社交媒体网络有关该问题。 Facebook终于做出了回应,但是除了删除端点之外,它没有太多要做的事情。该错误的主要修复程序来自实际的Web浏览器。
尽管目前的黑客威胁已经消失,但研究人员认为,将来可能会有更多的资源会受到类似违规的影响。
研究人员写道:“当涉及到巨大的渲染功能数量CSS3和Webkit已经引入的巨型渲染功能时,混合模式只是冰山一角。” “我们期望在未来几年中发现越来越多的脆弱性。”
