因用戶隱私問題，Facebook 連日來一直處于風(fēng)口浪尖。

6月1日，據(jù)外媒 bleepingcomputer 報道，由于部分瀏覽器的 CSS 漏洞，惡意的第三方網(wǎng)站同樣可以收集 Facebook 的用戶信息，如用戶的個人資料圖片和名字等。

不過這次的鍋，得 Firefox、Chrome 等瀏覽器來背。

這個漏洞來自于 2016 年推出的一個標(biāo)準(zhǔn) Web 功能，是 CSS 層疊樣式表( Cascading Style Sheets )標(biāo)準(zhǔn)中引入的一項新功能，該功能稱為“mix-blend-mode”混合模式，通過 iframe 將 Facebook 頁面嵌入到第三方網(wǎng)站時候，可以泄露可視內(nèi)容（也就是像素）。

據(jù)安全人員分析，此舉可以幫助一些廣告商將 IP 地址或廣告配置文件鏈接到真實的人身上，從而對用戶的在線隱私構(gòu)成嚴重威脅。

據(jù)悉，CSS混合模式功能支持16種混合模式，并且在Chrome（自v49）和Firefox（自v59以來）中完全支持，并部分受Safari支持（自v11 開始在 iOS 和 v10.3上）。

在最新發(fā)布的研究中，來自瑞士谷歌的安全工程師 Ruslan Habalov 與安全研究員 DarioWei?er 一起曝光了攻擊者如何濫用CSS3混合模式從其他站點獲取隱私信息。

該技術(shù)依賴于誘使用戶訪問攻擊者將 iframe 嵌入到其他網(wǎng)站的惡意網(wǎng)站。在他們所舉的例子中，F(xiàn)acebook的社交小部件中的兩個嵌入式 iframe 中招 ，但其他網(wǎng)站也容易受到這個問題的影響。

Habalov和Wei?er表示，根據(jù)呈現(xiàn)整個DIV堆棧所需的時間，攻擊者可以確定用戶屏幕上顯示的像素顏色。

正常情況下，攻擊者無法訪問這些 iframe 的數(shù)據(jù)，這是由于瀏覽器和遠程站點中實施的反點擊劫持和其他安全措施，允許其內(nèi)容通過 iframe 進行嵌入。

在線發(fā)布的兩個演示中，研究人員能夠檢索用戶的Facebook名稱，低分辨率版本的頭像以及他喜歡的站點。

在實際的攻擊中，大約需要20秒來獲得用戶名，500毫秒來檢查任何喜歡/不喜歡的頁面的狀態(tài)，以及大約20分鐘來檢索Facebook用戶的頭像。

攻擊很容易掩蓋，因為iframe可以很容易地移出屏幕，或隱藏在其他元素下面。

研究人員報告稱，蘋果的Safari瀏覽器、微軟 Internet Explore r和 Edge 瀏覽器還未受影響，因為它們還沒有實現(xiàn)標(biāo)準(zhǔn)“mix-blend-mode”模式功能。

雷鋒網(wǎng) (公眾號：雷鋒網(wǎng)) VIA? bleepingcomputer

。