Varias adiciones nuevas a los estándares web de Cascading Style Sheet (CSS) son tan poderosas que un investigador de seguridad las usó para decodificar personas anónimas (desalentar) en una página de demostración, revelando nombres de usuario e imágenes. Foto de Facebook y también si les gusta una página de Facebook.
La información que se filtra de esta manera puede ayudar a los anunciantes a adjuntar direcciones IP o registros publicitarios a personas reales, violando gravemente la privacidad del usuario. La filtración no es solo en Facebook, sino que también afecta a todas las demás páginas si el contenido está incrustado a través de otro sitio web con un iframe.
La debilidad está en el navegador, no en el sitio web.
En esencia, esta debilidad radica en la implementación de la función CSS llamada modo de combinación de combinación del navegador, agregada al estándar web CSS3 en 2016. El modo de combinación de combinación permite a los desarrolladores apilar elementos (componentes) uno encima del otro y agregar efectos para controlar cómo interactúan entre sí.
Estos efectos están inspirados en software de edición de fotografías como Photoshop, Gimp, Paint.net. y mixto. Por ejemplo, algunos nombres familiares como Superponer, Oscurecer, Aclarar, Multiplicar.
La función Mix-blend-mode admite 16 modos de combinación, compatibilidad total en Chrome (desde v49) y Firefox (desde v59) y compatibilidad parcial en Safari (desde v11 en macOS y v10.3 en iOS).
El investigador usa una pila DIV para reconstruir el contenido del iframe
En el estudio publicado recientemente, Ruslan Habalov trabajó en Google en Suiza y sus colegas revelaron cómo usar el modo CSS3 de combinación-combinación-combinación para obtener información de la página. Esta técnica se basa en inducir a los usuarios a acceder a una página maliciosa que incorpora un iframe en otra página. Las capas DIV se apilan con el modo de fusión en el iframe. Estas capas tienen un tamaño de 1×1 píxeles, lo que significa solo 1 píxel del iframe.
Dependiendo del tiempo requerido para renderizar la capa DIV completa, el atacante determina el color de ese píxel en la pantalla del usuario. Al mover lentamente estas capas DIV para ‘escanear’ a través de un iframe, conocerá el contenido del iframe. A menudo, un atacante no tiene acceso al contenido de iframe debido al navegador y los sitios remotos que permiten contenido incrustado a través de iframe con anti-clickjacking y otras medidas de seguridad.
Las dos demostraciones son extremadamente impresionantes
En las 2 demostraciones publicadas en Internet, los investigadores obtuvieron los nombres e imágenes representativas (baja resolución) y las páginas que les gustaron a los usuarios de Facebook. Solo se necesitan unos 20 segundos para obtener el nombre del usuario, 500 milisegundos para saber si le gusta o no una página y unos 20 minutos para obtener el avatar.
El ataque es fácil de cubrir porque el iframe se puede mover fácilmente fuera de la pantalla o esconderse detrás de otro elemento (vea la demostración a continuación, detrás de la imagen del gato). No es difícil para los usuarios permanecer en la página unos minutos porque solo una breve pregunta o artículo es suficiente.
La demostración ataca con CSS obteniendo información del usuario
Hay un parche para Chrome y Firefox disponible
Los dos investigadores informaron errores a Google y Mozilla, y el error se corrigió en Chrome 64 y Firefox 60. “Los errores se corrigen mediante la vectorización del cálculo del modo de fusión”. La implementación del modo CSS-mix-blend-blend en Safari no se ve afectada por el capital vectorizado.
Ver más:
- Usando solo código HTML y CSS, puede crear una obra maestra llena de estética como esta
- 5 recursos HTML y CSS interesantes que puedes esperar en 2018
- Los 5 marcos CSS más populares para tener en cuenta
Privacidad del usuario CSS Facebook Información de Facebook
Varias adiciones nuevas a los estándares web de hojas de estilo en cascada (CSS) son tan poderosas que un investigador de seguridad las usó para decodificar personas anónimas (desalentar) en una página de demostración, revelando nombres de usuario e imágenes. Foto de Facebook y también si les gusta una página de Facebook.
La información filtrada de esta manera puede ayudar a los anunciantes a adjuntar direcciones IP o registros publicitarios a personas reales, violando gravemente la privacidad del usuario. La filtración no es solo en Facebook, sino que también afecta a todas las demás páginas si el contenido está incrustado a través de otro sitio web con un iframe.
La debilidad está en el navegador, no en el sitio web.
En esencia, esta debilidad está en la implementación de la función CSS llamada mix-blend-mode del navegador, agregada al estándar web CSS3 en 2016. Mix-blend-mode permite a los desarrolladores apilar elementos (componentes) uno encima del otro y agregar efectos a controlar cómo interactúan entre sí.
Estos efectos están inspirados en software de edición de fotografías como Photoshop, Gimp, Paint.net. y mixto. Por ejemplo, algunos nombres familiares como Superponer, Oscurecer, Aclarar, Multiplicar.
La función Mix-blend-mode admite 16 modos de combinación, compatibilidad total en Chrome (desde v49) y Firefox (desde v59) y compatibilidad parcial en Safari (desde v11 en macOS y v10.3 en iOS).
El investigador usa una pila DIV para reconstruir el contenido del iframe
En el estudio publicado recientemente, Ruslan Habalov trabajó en Google en Suiza y sus colegas revelaron cómo usar el modo CSS3 de mezcla-mezcla-mezcla para obtener información de la página. Esta técnica se basa en inducir a los usuarios a una página maliciosa que incorpora un iframe en otra página. Las capas DIV se apilan con el modo de combinación en el iframe. Estas capas tienen un tamaño de 1×1 píxeles, lo que significa solo 1 píxel del iframe.
Dependiendo del tiempo requerido para renderizar la capa DIV completa, el atacante determina el color de ese píxel en la pantalla del usuario. Al mover lentamente estas capas DIV para ‘escanear’ en busca de un iframe, conocerá el contenido del iframe. A menudo, un atacante no tiene acceso al contenido de iframe debido al navegador y los sitios remotos que permiten contenido incrustado a través de iframe con anti-clickjacking y otras medidas de seguridad.
Las dos demostraciones son extremadamente impresionantes
En las 2 demostraciones publicadas en Internet, los investigadores obtuvieron los nombres e imágenes representativas (baja resolución) y las páginas que les gustaron a los usuarios de Facebook. Solo se necesitan unos 20 segundos para obtener el nombre del usuario, 500 milisegundos para saber si le gusta o no una página y unos 20 minutos para obtener el avatar.
El ataque es fácil de cubrir porque el iframe se puede mover fácilmente fuera de la pantalla o esconderse detrás de otro elemento (vea la demostración a continuación, detrás de la imagen del gato). No es difícil para los usuarios permanecer en la página unos minutos porque solo una pequeña pregunta o artículo es suficiente.
La demostración ataca con CSS obteniendo información del usuario.
Hay un parche para Chrome y Firefox disponible
Los dos investigadores informaron errores a Google y Mozilla, y el error se corrigió en Chrome 64 y Firefox 60. “Los errores se corrigen mediante la vectorización del cálculo del modo de fusión”. La implementación del modo CSS-mix-blend-blend en Safari no se ve afectada por el capital vectorizado.
Ver más:
- Usando solo código HTML y CSS, puede crear una obra maestra llena de estética como esta
- 5 recursos HTML y CSS interesantes que puedes esperar en 2018
- Los 5 marcos CSS más populares para tener en cuenta