Facebook od jakiegoś czasu stał się ulubionym chłopcem do bicia, jeśli chodzi o problemy związane z prywatnością. Ktoś sprzedawał twoje dane osobiste? „Pewnie przez jakąś aplikację Facebooka”. Znalazłeś swojego maila na liście adresów, które wyciekły do sieci wraz hasłami? „Z Facebooka się nie wylogowałeś”. Telemarketerzy dobijają się do ciebie w dzień i w nocy? „Na 100% z Facebooka mają numer”, i tak dalej. A tu się okazuje, że nie tylko Facebook ma swoje za uszami.
Niedawno zgłoszona luka w Chrome i Firefoxie umożliwiała złośliwym stronom zbieranie informacji z Facebooka, i co ciekawe – nie była to wina serwisu społecznościowego. Informacjami dostępnymi dla osób manipulujących funkcjami sieci Web, były na przykład zdjęcia profilowe i nazwy użytkowników. Jak na ironię, luka pochodzi z popularnego standardu internetowego, który został wprowadzony w 2016 roku.
Wykorzystanie takiej luki nazywa się atakiem bocznokanałowym, ponieważ nie jest powodowane wadą samego oprogramowania (Chrome czy Firefoxa), ale może być skuteczne dzięki zasadom, na których oparte jest działanie programu. W tym wypadku chodzi o jedną z funkcji CSS, nazwaną „mix-blend-mode”. Ujawniał on wizualnie treść, a technicznie rzecz biorąc – pozycję pikseli – dowolnej strony Facebooka, w sytuacji gdy na stronie trzeciej umieszczano w ramce odnośnik do jakiegoś profilu.
Zwykle w takich sytuacjach przeglądarka powinna zablokować dostęp do treści, które w normalnych warunkach są dostępne dopiero po zalogowaniu się do chronionego serwisu, do którego odsyła odnośnik. I ogólnie rzecz biorąc robiła to. Luka polegała na tym, że choć nie dało się wyodrębnić z odnośnika obrazu czy tekstu, to bez trudu można było zebrać dane z sąsiadujących pikseli, by złożyć z nich obraz (tu: zdjęcie profilowe) lub imię i nazwisko. Może się wydawać, że sporo z tym zachodu, ale dla przeciętnego komputera z odpowiednim oprogramowaniem to kwestia 20 sekund.
Analitycy bezpieczeństwa Dario Weißer i Ruslan Habalov ujawnili lukę w zabezpieczeniach Chrome’a i Firefoxa, a Google i Mozilla niezwłocznie zareagowali na nią, wydając odpowiednie poprawki, uniemożliwiające przyszłe próby pozyskania danych osobowych użytkowników ich przeglądarek.
Nie wiadomo, jak dużo osób ucierpiało w wyniku ekspozycji na tę lukę. Co ciekawe, użytkownicy przeglądarek Safari, Microsoft Edge i Microsoft Explorer byli bezpieczni. Ci pracujący na Safari – właściwie nie wiadomo dlaczego, a ci korzystający z programów Microsoftu – ponieważ w przeglądarkach nawet nie wprowadzono obsługi funkcji mix-blend-mode.
Ta dziura bezpieczeństwa została załatana, ale technologie i standardy sieciowe zmieniają się niezwykle dynamicznie i coraz częściej wykorzystują przyśpieszenie sprzętowe. Wobec tego szanse na pojawienie się takich luk w przyszłości ciągle rosną. Wkrótce nie tylko Facebook będzie poważne problemy z ochroną danych.
źródło: ArsTechnica przez SlashGear
