原标题:Chrome漏洞可能外泄使用者隐私资料
图片来源:Imperva
资安业者Imperva本周揭露一个存在于Chrome浏览器Blink引擎中的“跨域资讯外泄”(Cross△Origin△Information△Leak)漏洞,将允许骇客汲取Chrome用户存放在脸书、Google或其它平台上的个人资料,例如描绘出Chrome用户的脸书个人档案。
Imperva安全研究人员Ron△Masas指出,当时他正在研究Chrome上每种HTML标签的跨域资源共享(Cross-Origin△Resource△Sharing,CORS)机制,注意到其中的视频(Video)与声音(Audio)标签有些不同,它们能用来请求Chrome上其它网页的资源,并通过这些网页的回应来汲取Chrome用户在这些网页上所存放的个人资料。
Masas描述了针对Facebook的可能攻击场景,骇客可先建立大量的脸书文章,并限制存取这些文章的资格,像是年纪、性别或地域等,接着再打造一个暗藏恶意视频或声音标签的网站,一旦Chrome用户同时造访了恶意网站与脸书,骇客就能传递一个测试用户是否能造访这些脸书文章的请求,以偷偷建立Chrome用户的个人档案。
例如若骇客建立了一篇只容许24岁民众观看的脸书文章,或者是发表一篇只允许加州民众观看的文章,即可利用此一技两查看该名Chrome用户是否能读取该篇文章,不管该用户在脸书上的隐私设定为何,骇客都能自脸书过滤机制的回应来确认使用者的资料。
这基本上属于旁路攻击的手法,而且骇客至少可提出20种问题来建立完整的个人资料,更令人担心的是,若Chrome用户还开启了以电子邮件注册的电子商务或云端应用网站,骇客还能利用自社交网站汲取的个人资料展开进一步的分析或攻击。
Imperva将此一漏洞提交给Google时,还获得了500美元的漏洞奖励,且Google已于今年7月释出的Chrome△68修补了该漏洞。
相关:
开源电子健康纪录系统OpenEMR爆数个严重漏洞,病患隐私与系统安全拉警报
支援全球2亿人病历的开源电子健康纪录系统OpenEMR,遭Project△Insecurity揭露存在多个严重等级高的安全性漏洞,从身份验证旁路、SQL资料隐码、远端程式码执行以及任意档案操作等漏洞都有,OpenEMR社交已积极处理漏洞
示意图,与新闻事件无关。 图片来源: Apple 根据澳洲媒体The△Age的报道,一位16岁的澳洲青少年本周坦承曾多次入侵苹果伺服器,窃取了多达90GB的苹果机密档案,还取得苹果用户的帐号金钥,在苹果向美国联邦调查局(
16 岁黑客成功盗取 Apple 客户资料逾 90GB | 香港 UNWIRE.HK 玩生活.乐科技
美国联邦调查局(FBI)最近收到 Apple 报告,指他们其中一个伺服器有 90GB 客户资料曾被黑客盗取。而调查后证实黑客为一位 16 岁居住在澳洲的少年。根据澳洲传媒《The Age》报道,该名 16 岁澳洲少年经已被当地执法部
开源DevOps服务供应商Sonatype发表DepShield,这是一个针对GitHub的应用程序,能自动识别开源相依专案程式码中的漏洞,提醒开发人员需要修补的部分,提高企业对于开源治理的能力。Sonatype提到,根据他们针对DevSecO
L1TF漏洞攻击手法让云端服务商动起来,DigitalOcean也提出因应之道
近日Intel发布了L1终端故障(L1 Terminal△Fault,L1TF)漏洞后,公有云厂商陆续也启动修补工作,避免影响企业用户。像是Google公有云运算服务,就采用主机隔离功能,确保各虚拟机不会共用作业系统核心,同时也开始监