圖片來源: 

Imperva

資安業者Imperva本周揭露一個存在於Chrome瀏覽器Blink引擎中的「跨域資訊外洩」(Cross Origin Information Leak)漏洞,將允許駭客汲取Chrome用戶存放在臉書、Google或其它平台上的個人資料,例如描繪出Chrome用戶的臉書個人檔案。

Imperva安全研究人員Ron Masas指出,當時他正在研究Chrome上每種HTML標籤的跨域資源共享(Cross-Origin Resource Sharing,CORS)機制,注意到其中的影片(Video)與聲音(Audio)標籤有些不同,它們能用來請求Chrome上其它網頁的資源,並透過這些網頁的回應來汲取Chrome用戶在這些網頁上所存放的個人資料。

Masas描述了針對Facebook的可能攻擊場景,駭客可先建立大量的臉書文章,並限制存取這些文章的資格,像是年紀、性別或地域等,接著再打造一個暗藏惡意影片或聲音標籤的網站,一旦Chrome用戶同時造訪了惡意網站與臉書,駭客就能傳遞一個測試用戶是否能造訪這些臉書文章的請求,以偷偷建立Chrome用戶的個人檔案。

例如若駭客建立了一篇只容許24歲民眾觀看的臉書文章,或者是發表一篇只允許加州民眾觀看的文章,即可利用此一技倆查看該名Chrome用戶是否能讀取該篇文章,不管該用戶在臉書上的隱私設定為何,駭客都能自臉書過濾機制的回應來確認使用者的資料。

這基本上屬於旁路攻擊的手法,而且駭客至少可提出20種問題來建立完整的個人資料,更令人擔心的是,若Chrome用戶還開啟了以電子郵件註冊的電子商務或雲端應用網站,駭客還能利用自社交網站汲取的個人資料展開進一步的分析或攻擊。

Imperva將此一漏洞提交給Google時,還獲得了500美元的漏洞獎勵,且Google已於今年7月釋出的Chrome 68修補了該漏洞。


Advertisement

更多 iThome相關內容