安全研究员在Web浏览器中发现了一种漏洞,可以允许攻击者找到其他Web平台,例如Facebook和Google,了解您。他们所需要的只是让你参观一个网站。

该漏洞利用了音频/视频HTML标签中的弱点,并影响由闪电引擎提供支持的所有Web浏览器,包括Google Chrome。 Blink是Google Chrome浏览器和其他基于Web的项目中使用的浏览器引擎。

研究人员占据了Facebook的一个例子,因为它会收集有关其用户的深入分析信息,包括其年龄,性别,(位置数据)和兴趣,例如用户喜欢和不喜欢什么’t like.

浏览器攻击如何工作

研究人员创造了多个Facebook帖子,限制受众的不同组合,根据其年龄,地点,兴趣或性别分类受害者。

  • 如果网站在网页上嵌入所有这些Facebook帖子,它将仅加载并仅在访客处显示一些特定帖子’基于个人的终端’在Facebook上的配置文件数据匹配限制受众设置。
  • 如果是一个帖子,例如只定义为26岁的Facebook用户可见,男性,拥有和在线销售的兴趣,攻击者可能会在访问者上学​​习个人信息,无论其隐私设置如何。
  • 研究人员发现,由于音频和视频HTML标签唐’t验证所取出的资源或拒绝响应的内容类型,攻击者可以在网站上使用多个隐藏视频或音频标签来请求Facebook帖子。
  • 虽然这种方法没有’T显示Facebook帖子,它确实允许攻击者控制的网站找出从Facebook中成功获取的特定帖子,以为个人访客。

此漏洞的核心与另一个浏览器错误有一些相似之处,该错误在今年6月修补,这在Web浏览器如何处理对视频和音频文件的交叉原点请求的弱点,允许攻击者阅读Gmail或私人Facebook的内容消息。

Chrome团队在IT Chrome 68发行版中修补了这个问题。

强烈建议使用Chrome用户将其浏览器更新到最新版本,如果他们还没有这样做。

 

 

Source://www.bullguard.com/blog