Chyba nikt, kto zajmuje się tworzeniem dobrych i responsywnych stron internetowych nie wyobraża sobie pracy bez kaskadowych arkuszy stylów (CSS). Dzięki niemu to, co za pomocą czystego kodu strony było wcześniej niemożliwe, dzisiaj można uznać za absolutny standard i mieści się to w zakresie powszechnie akceptowalnych praktyk. Ale co jeśli nowe funkcje CSS wpływają na bezpieczeństwo użytkowników?
Do takiego wniosku doszli eksperci, którzy przyjrzeli się nowym dodatkom do standardu: użyto ich po to, aby ujawnić informacje o użytkownikach Facebooka. Dla tego celu przygotowano odpowiednio spreparowaną stronę internetową, która pozwoliła na wyciągnięcie od internautów facebookowych profilów, razem z awatarami oraz informacjami o polubionych fanpage'ach. Jak wskazują sami eksperci, połączenie tych danych np. z adresami IP może zostać z powodzeniem użyte do jeszcze bardziej wyrafinowanego profilowania reklamowego.
Podatność o której mowa jest mocno związana z jedną z nowszych funkcji CSS zaimplementowaną w przeglądarkach internetowych (mix-blend-mode), która została dodana do CSS3. Pojawienie się tej możliwości wcale nie oznacza, że Facebook zawalił sprawę i to on odpowiada za wycieki: generalnie należy upatrywać tutaj "winy" przeglądarek, zasadniczo każda strona internetowa pozwalająca na umieszczanie z niej treści w "iframe" jest zagrożona wykorzystaniem informacji w taki sposób. A zatem, Twitter również powinien znaleźć się w gronie potencjalnie niebezpiecznych - w kontekście mix-blend-mode stron.
W sieci dostępne są również odpowiednio spreparowane strony internetowe, które pozwalają sprawdzić, czy czasami nasza przeglądarka nie jest podatna. Jeżeli korzystacie z Safari - nie macie się czego obawiać. Jeszcze przed pojawieniem się informacji o możliwych wyciekach, narzędzie było już załatane. Gorzej jest natomiast, jeżeli korzystacie z Chrome lub Firefoksa - szczególnie starszych wersji tych przeglądarek. Wtedy może okazać się, że taka podatność u Was zwyczajnie występuje. Jedyną "wadą" tego ataku jest fakt, iż wyciągnięcie danych z użytkownika zajmuje sporo czasu. Np. awatar może zostać przechwycony nawet... po 20 minutach. Rzadko zdarza się, aby użytkownik przesiadywał tyle na jednej stronie internetowej bez jej odświeżania.
Choć nie ma żadnych dowodów na to, że cyberprzestępcy zdążyli wykorzystać tę lukę, dobrze by było, aby użytkownicy sprawdzili stan aktualizacji w swoich przeglądarkach. Chrome od wersji 63 oraz Firefox od wydania 60 nie są już podatne na atak z wykorzystaniem mix-blend-mode. Warto sprawdzić, czy nie czeka na nas aktualizacja oprogramowania, która naprawia nie tylko ten, ale i szereg innych błędów.
Warto dodać również, że podatność związana z mix-blend-mode to wcale nie taka nowość: Max May, niezależny ekspert ds. cyberbezpieczeństwa zwracał uwagę na możliwość złośliwego wykorzystania nowinek w CSS już w marcu 2017 roku.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
