นักวิจัยพบช่องโหว่ใช้ฟีเจอร์ CSS ทราบชื่อและรูปโปรไฟล์ Facebook ของผู้ใช้งาน

นาย Ruslan Habalov นักวิจัยจาก Google และ Dario Weißer พบช่องโหว่ที่ระดับ Browser อย่าง Chrome และ Firefox ที่รองรับฟีเจอร์ ‘mix-blend-node’ ของ Cascading Style Sheet 3 (CSS3) หรือเทคโนโลยีที่ใช้ในการสร้างเว็บเพจ ส่งผลให้ผู้โจมตีสามารถได้รับข้อมูลชื่อผู้ใช้งาน ภาพโปรไฟล์ Facebook และชื่อไซต์ที่ถูกกดไลค์

ช่องโหว่หมายเลขอ้างอิง CVE-2017-15417 ที่เกิดจากฟีเจอร์ mix-blend-mode หรือความสามารถที่ช่วยกำหนดว่าจะผสานเนื้อหาลงไปยังพื้นหลังได้อย่างไร โดยนักวิจัยกล่าวถึงวิธีการที่จะใช้ช่องโหว่นี้คือเหยื่อจะต้องมีการล็อกอิน Facebook อยู่ก่อนและมีการเข้าไปเยี่ยมชมเว็บไซต์อันตรายที่มีการใช้งาน IFrame ที่มี Plugin ของ Facebook (เวลาเข้าเว็บเราจะเห็นว่าบางเพจมีปุ่มกดไลค์เล็กๆ ในหน้าเพจ) จากนั้นผู้โจมตีสามารถใช้การวางทับ Stack ของ DIV (‘<div>’มันคือแท็กที่ปกติแล้วคนออกแบบเว็บใช้วางองค์ประกอบของ HTML บนเพจ) บนองค์ประกอบที่มีการเปิด mix-blend-mode เอาไว้

ผู้โจมตีจะเขียนทับครั้งละ 1 พิกเซลแล้วก็ค่อยๆ ทำการวิเคราะห์สีที่แสดงผลออกมาของแต่พิกเซล เมื่อให้ระยะเวลาหนึ่งซึ่งขึ้นกับพิกเซลของสีใน IFrame ผู้โจมตีจะสามารถตีความข้อมูลสีออกมาจาก IFrame ได้ หากให้เวลาประมาณ 20 วินาทีมันน่าจะสามารถเผยถึงชื่อผู้ใช้งานและถ้ามีเวลาถึง 5 นาทีน่าจะเผยถึงภาพของโปรไฟล์มาได้ อีกทั้งการเช็คสถานะการกดไลค์ของแต่ละไซต์ก็ใช้เวลาเพียง 500 มิลิวินาทีเท่านั้น นอกจากนี้ช่องโหว่ยังสามารถเผยไปถึงรูปโปรไฟล์เพื่อนของเหยื่อที่มากดไลค์ไซต์เดียวกันได้ด้วย

แม้นักวิจัยจะได้แสดงผลว่าสามารถใช้กับ Facebook ได้แต่ก็เสริมว่า “มีข้อมูลละเอียดอ่อนมากมายในเว็บไซต์ที่อาจจะได้รับผลกระทบคล้ายกันด้วยการโจมตีเช่นนี้อีก” ผู้สนใจสามารถเข้าไปเล่นไซต์ที่นักวิจัยเปิดเอาไว้ให้ทดสอบได้ ที่นี่ (ลองเข้าไปแล้วจะเห็นภาพชัดเจนขึ้นแต่ทดสอบด้วย Chrome และ Firefox เพราะ Safari อาจจะไม่รองรับ) อย่างไรก็ตามทาง Google ก็ทำการ แพตช์ เรียบร้อยแล้ว

ที่มา : https://threatpost.com/browser-side-channel-flaw-de-anonymizes-facebook-data/132465/ และ https://www.bleepingcomputer.com/news/security/css-is-so-overpowered-it-can-deanonymize-facebook-users/