通過堆棧DIV形式和CSS組合拳跨站獲取Facebook賬戶信息

最近給CSS標準添加的功能有點過於強大了導致安全研究者已經開始濫用這些特性去解密訪問測試網站的Facebook帳號信息，包括用戶名、頭像以及他們最近贊過的一個Facebook動態。

通過這個攻擊導致的信息泄漏將幫助一些廣告主將IP地址或廣告信息與真實個人相聯繫，對用戶的在線隱私造成了巨大的威脅。

這個漏洞不是僅適用於Facebook，而是影響所有允許通過iframe框架鏈接進入的網站。

漏洞存在於瀏覽器，而不是網站

實際的漏洞在於瀏覽器執行一個名為「Mix-blend-mode」的CSS特性，這個特性在2016年進入了CSS3標準。

這個mix-blend-mode屬性允許網站開發者將Web組件疊加在一起，並添加控制其交互方式的效果。

就像這個屬性的名稱一樣，這些效果都是來自於例如Photoshop，Gimp，Paint.net等圖像編輯軟體的啟發。混合模式樣例有覆蓋，變暗，變亮，顏色減淡，混合，反轉等。

這個CSS3的mix-blend-mode屬性支持16種模式，並且Chrome（v49以上）和Firefox（v59以上）中均有支持本特性。在Safari中也有部分的支持（macOS的v11以上和iOS的v10.3以上）

研究者利用DIV堆棧來重建iframe內容

在近天發布的研究報告中，瑞士谷歌安全工程師 Ruslan Habalov 與安全研究者Dario Wei?er一起向大眾揭露了如何通過濫用CSS3mix-blend-mode屬性去從其他網站獲取泄漏的信息。

這個手法依賴於誘導用戶去訪問將其他網站以iframe形式嵌入的惡意網站。雖然在他們的例子里，兩個嵌入式框架都是套用Facebook的社交組件，但是其他網站也容易受到同樣的影響。

這個攻擊包括在iframe上覆蓋數量和種類超多的DIV圖層堆棧。這些圖層都是1x1像素大小的，意味著每一個iframe只覆蓋了一個像素。

Habalov和Wei?er稱，根據渲染這麼一堆的DIV，攻擊者可以確定用戶屏幕上這些像素說顯示的顏色。

研究人員認為通過逐漸升級在iframe里的這種DIV「掃描」，「是可以獲得整個iframe的內容的」

正常情況下，在瀏覽器和網站都有反劫持和其他安全措施，攻擊者也無法訪問這些嵌入的iframe框架內的數據。

兩個非常明顯的演示

在這兩個網站的演示中，研究者可以獲取到用戶的Facebook昵稱，一個小尺寸的頭像和他最近贊過的網站。

實際的攻擊大概將用20秒就可以泄漏用戶名，500毫秒就可以檢查任何贊/踩的頁面，以及大概20分鐘獲得用戶的頭像。

這個攻擊很容易被掩蓋，因為iframe可以很容易的放在屏幕不可見的區域，或者用其他元素遮住（看下面的例子，在一張貓的圖片進行攻擊）。此外，通過讓用戶在一個網站停留幾分鐘（例如做在線測試或看長文）也是可以進行解密的。

GIF

適用於Chrome和Firefox的修復方法

兩人向Google和Mozilla工程師報告了這個錯誤，他們在Chrome v63和Firefox 60解決了這個問題。

「這個漏洞是通過向量化混合計算進行的」Habalov 和 Wei?er 說。Safari的mix-blend-mode並不受此影響，因為混合模式已經被矢量化了。

除此之外，還有一名研究者Max May於2017年3月獨立發現該漏洞並報告給Google了。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！