特定のサイトを訪問したユーザーのFacebookの情報(ユーザー名やプロフィール写真、「いいね!」の情報など)が漏えいしてしまう脆弱性が「Chrome」と「Firefox」で修正されていたことが明らかになった。
この脆弱性は、2016年に「CSS(Cascading Style Sheet)3」で追加された「mix-blend-mode」の、両ブラウザにおける実装方法に起因する。攻撃者は、クロスオリジンのiframeに表示された、Facebookのプロフィール写真などのコンテンツを読み取るサイドチャネル攻撃を仕掛けることが可能になっていた。
この脆弱性をセキュリティ研究者のDario Weiser氏とともに発見したGoogleのRuslan Habalovs氏は米国時間5月31日付のブログで、その詳細を説明している。同脆弱性を悪用するように作り込まれたウェブサイトをFacebookにログインしている状態で訪問すると、その利用者のFacebookでの情報が盗み出されてしまうそうだ。デモではFacebookを標的にしているが、iframeに埋め込むことができる、Facebookのログインボタンなどの「エンドポイント」のあるウェブサイトなら悪用の対象になり得るという。
Weiser氏もArs Technicaに攻撃方法を説明している。Facebookなどのエンドポイントにリンクするiframe内でmix-blend-modeプロパティを使用すれば、標的になったiframe内で要素をレンダリングする中で視覚的コンテンツの内容を識別することが可能だという。
「iframeのコンテンツに直接アクセスすることはできない。だが、iframeに(別の要素を)オーバーレイし、下のピクセルに対してグラフィカルなインタラクションを発生させることはできる」「これらのオーバーレイは攻撃者のサイトが制御しているので、グラフィカルなインタラクションにかかる時間を測定することができる」(Weiser氏)
Weiser氏はmix-blend-modeの中には下のレイヤの色によって時間が変わるものがあると述べる。
「テストしたレイヤにX色が使われていれば、Y色よりもレンダリングに時間がかかる、という風に測定していくと、個々のピクセルの色が特定できる。HTMLの情報は抜き出せないが、標的になったiframeの視覚的な情報を読み取れる」
Googleは2017年末の「Chrome 63」で、Mozillaは数週間前の「Firefox 60」で同脆弱性を修正している。mix-blend-modeをサポートしていない「Internet Explorer」や「Microsoft Edge」はこの問題の影響を受けない。
研究者らはFacebookにも問題を報告したが、すべてのエンドポイントを削除しなければならないため修正は不可能だとの結論に至っている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
仕事に「楽しい」をプラスしたい
現場経験から生まれた建設テックアプリが
"二次元の図面管理”の救世主へ
次の一手はこれだ!
ZDNet×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
デジタル営業時代の「チーム営業」
録画したWeb会議で組織の情報共有を円滑化
営業活動に必要な機能を備えたベルフェイス
AWS/Azureの運用管理を楽にする
まさかの高額課金も回避可能な仮想リソース
可視化の詳細
CES 2021に登場したクールな最新ガジェット--巻き取り式スマホから消毒ロボまで 
接触確認アプリ「COCOA」で通知を受けたらどうする?--PCR検査を経験した4人のリアル 
最新モデルに刷新されたiPadシリーズ--Apple製品の選び方2020~2021【iPad編】