谷歌镀铬缺陷将隐私危险
一个安全研究人员警告说,谷歌Chrome和运行眨眼浏览器引擎的所有浏览器都可以使恶意演员在Facebook和其他平台中揭开私人数据。
“攻击者可以建立一个人的确切年龄或性别,因为它在Facebook上保存,无论其隐私设置如何,”安全公司Imperva的研究人员Ron Masas说。
根据MASA的说法,潜在的攻击者可以使用侧信机方法来滥用网站中的过滤功能,以推导出Facebook用户的年龄,性别,喜欢和位置历史,例如,通过使用音频和视频HTML标记来生成请求目标站点然后监视这些请求生成的进度事件。
这意味着攻击者可以“询问”一系列关于浏览器的标准。“例如,一个糟糕的演员可以为每个可能的年龄创建相当大的Facebook帖子,使用Theaudience RestrictionOption,使Facebook通过响应大小反映用户年龄,”他在博客帖子中写道。
大的响应大小表明限制不适用,而小的则表明内容受到限制,表明特定用户来自不允许的年龄或性别。
“有几个脚本一次运行 - 每次测试一个不同而独特的限制 - 坏演员可以相对迅速地挖掘有关用户的良好私有数据,”Masas说。
如果攻击者在需要电子商务网站的网站上运行攻击脚本,例如电子商务网站,则糟糕的演员可以将目录数据报表地址相关联,以便更广泛和更广泛的侵扰性分析。
“当用户访问坏actor站点时,网站注入了多个隐藏的视频或音频标签,该标签请求数字Facebook先前发布和限制使用不同技术的攻击者,”Masas说。“然后,攻击者可以分析每个请求,以指示例如用户的确切年龄,因为它在Facebook上保存,无论其隐私设置如何。”
Imperva报告了谷歌的漏洞,它通过修补Chrome的68版本中的漏洞来响应。
“我们强烈建议所有Chrome用户确保他们正在运行最新版本,”Masas说。