css
7

CSS jest tak potężny, że… może ujawniać dane o użytkownikach sieci

Chyba nikt, kto zajmuje się tworzeniem dobrych i responsywnych stron internetowych nie wyobraża sobie pracy bez kaskadowych arkuszy stylów (CSS). Dzięki niemu to, co za pomocą czystego kodu strony było wcześniej niemożliwe, dzisiaj można uznać za absolutny standard i mieści się to w zakresie powszechnie akceptowalnych praktyk. Ale co jeśli nowe funkcje CSS wpływają na bezpieczeństwo użytkowników?

Do takiego wniosku doszli eksperci, którzy przyjrzeli się nowym dodatkom do standardu: użyto ich po to, aby ujawnić informacje o użytkownikach Facebooka. Dla tego celu przygotowano odpowiednio spreparowaną stronę internetową, która pozwoliła na wyciągnięcie od internautów facebookowych profilów, razem z awatarami oraz informacjami o polubionych fanpage’ach. Jak wskazują sami eksperci, połączenie tych danych np. z adresami IP może zostać z powodzeniem użyte do jeszcze bardziej wyrafinowanego profilowania reklamowego.

Podatność o której mowa jest mocno związana z jedną z nowszych funkcji CSS zaimplementowaną w przeglądarkach internetowych (mix-blend-mode), która została dodana do CSS3. Pojawienie się tej możliwości wcale nie oznacza, że Facebook zawalił sprawę i to on odpowiada za wycieki: generalnie należy upatrywać tutaj „winy” przeglądarek, zasadniczo każda strona internetowa pozwalająca na umieszczanie z niej treści w „iframe” jest zagrożona wykorzystaniem informacji w taki sposób. A zatem, Twitter również powinien znaleźć się w gronie potencjalnie niebezpiecznych – w kontekście mix-blend-mode stron.

CSS

W sieci dostępne są również odpowiednio spreparowane strony internetowe, które pozwalają sprawdzić, czy czasami nasza przeglądarka nie jest podatna. Jeżeli korzystacie z Safari – nie macie się czego obawiać. Jeszcze przed pojawieniem się informacji o możliwych wyciekach, narzędzie było już załatane. Gorzej jest natomiast, jeżeli korzystacie z Chrome lub Firefoksa – szczególnie starszych wersji tych przeglądarek. Wtedy może okazać się, że taka podatność u Was zwyczajnie występuje. Jedyną „wadą” tego ataku jest fakt, iż wyciągnięcie danych z użytkownika zajmuje sporo czasu. Np. awatar może zostać przechwycony nawet… po 20 minutach. Rzadko zdarza się, aby użytkownik przesiadywał tyle na jednej stronie internetowej bez jej odświeżania.

Firefox i Chrome są już załatane

Choć nie ma żadnych dowodów na to, że cyberprzestępcy zdążyli wykorzystać tę lukę, dobrze by było, aby użytkownicy sprawdzili stan aktualizacji w swoich przeglądarkach. Chrome od wersji 63 oraz Firefox od wydania 60 nie są już podatne na atak z wykorzystaniem mix-blend-mode. Warto sprawdzić, czy nie czeka na nas aktualizacja oprogramowania, która naprawia nie tylko ten, ale i szereg innych błędów.

Warto dodać również, że podatność związana z mix-blend-mode to wcale nie taka nowość: Max May, niezależny ekspert ds. cyberbezpieczeństwa zwracał uwagę na możliwość złośliwego wykorzystania nowinek w CSS już w marcu 2017 roku.