Una vulnerabilidad de canal lateral existía en el implemento de la característica CSS3 llamada "mix-blend-mode". Permitía a un atacante desanonimizar a un usuario de Facebook que ejecutaba Google Chrome o Mozilla Firefox haciéndoles visitar un sitio web especialmente diseñado.
La falla, ahora fija, fue descubierta el año pasado por el dúo de investigadores Dario Weißer y Ruslan Habalov, y por separado por otro investigador llamado Max May.
La prueba de concepto creada por los investigadores les permitió recopilar datos como la imagen de perfil, el nombre de usuario y el estado 'me gusta' de los visitantes desprevenidos, dijeron los investigadores en su publicación de blog. Todo esto podría hacerse en segundo plano cuando un usuario visite un sitio malicioso.
La pérdida de datos visuales podría ocurrir en los sitios web que utilizan iFrames que se vinculan a Facebook en forma de complementos sociales y botones de inicio de sesión. Debido a una función de seguridad llamada política de origen, los sitios web no pueden acceder directamente al contenido de los marcos flotantes. Los investigadores pueden extraer información creando una superposición en el iFrame de origen cruzado para interactuar con los píxeles subyacentes.
El POC toma alrededor de 20 segundos para revelar un nombre de usuario, alrededor de 5 minutos para una versión vaga de la imagen de perfil, y alrededor de 500 milisegundos para verificar el estado de un sitio determinado. Sin embargo, el usuario objetivo debe iniciar sesión en su cuenta de Facebook para que el método funcione.
La falla, ahora fija, fue descubierta el año pasado por el dúo de investigadores Dario Weißer y Ruslan Habalov, y por separado por otro investigador llamado Max May.
La prueba de concepto creada por los investigadores les permitió recopilar datos como la imagen de perfil, el nombre de usuario y el estado 'me gusta' de los visitantes desprevenidos, dijeron los investigadores en su publicación de blog. Todo esto podría hacerse en segundo plano cuando un usuario visite un sitio malicioso.
La pérdida de datos visuales podría ocurrir en los sitios web que utilizan iFrames que se vinculan a Facebook en forma de complementos sociales y botones de inicio de sesión. Debido a una función de seguridad llamada política de origen, los sitios web no pueden acceder directamente al contenido de los marcos flotantes. Los investigadores pueden extraer información creando una superposición en el iFrame de origen cruzado para interactuar con los píxeles subyacentes.
El POC toma alrededor de 20 segundos para revelar un nombre de usuario, alrededor de 5 minutos para una versión vaga de la imagen de perfil, y alrededor de 500 milisegundos para verificar el estado de un sitio determinado. Sin embargo, el usuario objetivo debe iniciar sesión en su cuenta de Facebook para que el método funcione.
Tanto Google como Mozilla fueron notificados en privado por los investigadores. Sin embargo, se hizo público temporalmente el año pasado ya que el investigador independiente Max May ya lo había publicado en la lista de correo de Chromium en marzo de 2017.
La vulnerabilidad de canal lateral se corrigió para Google Chrome en diciembre del año pasado (versión 63). Para Firefox, el parche estuvo disponible hace dos semanas (versión 60). Eso es porque los investigadores encontraron un error que retrasó la divulgación a Mozilla hasta noviembre de 2017.
El exploit no afectó a IE y Edge ya que los navegadores web no admiten la función requerida. Safari tampoco se vio afectado por alguna razón.
Si bien la falla se ha remendado para siempre, los investigadores advierten que las capacidades gráficas avanzadas añadidas a HTML y CSS podrían abrir puertas para más ataques como estos.
La vulnerabilidad de canal lateral se corrigió para Google Chrome en diciembre del año pasado (versión 63). Para Firefox, el parche estuvo disponible hace dos semanas (versión 60). Eso es porque los investigadores encontraron un error que retrasó la divulgación a Mozilla hasta noviembre de 2017.
El exploit no afectó a IE y Edge ya que los navegadores web no admiten la función requerida. Safari tampoco se vio afectado por alguna razón.
Si bien la falla se ha remendado para siempre, los investigadores advierten que las capacidades gráficas avanzadas añadidas a HTML y CSS podrían abrir puertas para más ataques como estos.
0 Comentarios