用户要注意!谷歌Chrome浏览器漏洞可能外泄使用者隐私资料!
安全业者Imperva本周揭露一个存在于Chrome浏览器Blink引擎中的"跨域资讯外泄"(Cross Origin Information Leak)漏洞,将允许黑客汲取Chrome用户存放在脸书、Google或其它平台上的个人资料,例如描绘出Chrome用户的脸书个人档案。
Imperva安全研究人员Ron Masas指出,当时他正在研究Chrome上每种HTML标签的跨域资源共享(Cross-Origin Resource Sharing,CORS)机制,注意到其中的视频(Video)与声音(Audio)标签有些不同,它们能用来请求Chrome上其它网页的资源,并透过这些网页的回应来汲取Chrome用户在这些网页上所存放的个人资料。
Masas描述了针对Facebook的可能攻击场景,黑客可先建立大量的脸书文章,并限制存取这些文章的资格,像是年纪、性别或地域等,接着再打造一个暗藏恶意视频或声音标签的网站,一旦Chrome用户同时造访了恶意网站与脸书,黑客就能传递一个测试用户是否能造访这些脸书文章的请求,以偷偷建立Chrome用户的个人档案。
例如若黑客建立了一篇只容许24岁群众观看的脸书文章,或者是发表一篇只允许加州群众观看的文章,即可利用此一技俩查看该名Chrome用户是否能读取该篇文章,不管该用户在脸书上的隐私设定为何,黑客都能自脸书过滤机制的回应来确认使用者的资料。
这基本上属于旁路攻击的手法,而且黑客至少可提出20种问题来建立完整的个人资料,更令人担心的是,若Chrome用户还开启了以电子邮件注册的电子商务或云端应用网站,黑客还能利用自社交网站汲取的个人资料展开进一步的分析或攻击。
Imperva将此一漏洞提交给Google时,还获得了500美元的漏洞奖励,且Google已于今年7月释出的Chrome 68修补了该漏洞。
来源链接:https://baijiahao.baidu.com/s?id=1609077978722813571&wfr=spider&for=pc
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
随时掌握互联网精彩
随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 澳门是伟大祖国的一方宝地 7972007
- 2 女子穿板鞋爬山回家脱鞋时被吓一跳 7990636
- 3 张雨绮 为了讨大家喜欢才穿成这样 7803936
- 4 2024 向上的中国 7720961
- 5 72岁老人3年拍100部短剧 7604146
- 6 免费升级宽带后家里成“电诈中心” 7586129
- 7 90%烧伤男生父亲:对方让我高抬贵手 7484980
- 8 9岁女孩胃里取出直径4厘米头发团 7325829
- 9 春熙路不能随便开直播了 7254431
- 10 男子网贷1000元3天内需还2000元 7114552