Facebookの情報が盗み出される脆弱性--「Chrome」「Firefox」で修正済み

　特定のサイトを訪問したユーザーのFacebookの情報（ユーザー名やプロフィール写真、「いいね！」の情報など）が漏えいしてしまう脆弱性が「Chrome」と「Firefox」で修正されていたことが明らかになった。

　この脆弱性は、2016年に「CSS（Cascading Style Sheet）3」で追加された「mix-blend-mode」の、両ブラウザにおける実装方法に起因する。攻撃者は、クロスオリジンのiframeに表示された、Facebookのプロフィール写真などのコンテンツを読み取るサイドチャネル攻撃を仕掛けることが可能になっていた。

研究者らは、iframe内の要素からFacebookのユーザー名（左）とプロフィール画像（右）を読み取る様子を示した
提供：Ruslan Habalov

　この脆弱性をセキュリティ研究者のDario Weiser氏とともに発見したGoogleのRuslan Habalovs氏は米国時間5月31日付のブログで、その詳細を説明している。同脆弱性を悪用するように作り込まれたウェブサイトをFacebookにログインしている状態で訪問すると、その利用者のFacebookでの情報が盗み出されてしまうそうだ。デモではFacebookを標的にしているが、iframeに埋め込むことができる、Facebookのログインボタンなどの「エンドポイント」のあるウェブサイトなら悪用の対象になり得るという。

　Weiser氏もArs Technicaに攻撃方法を説明している。Facebookなどのエンドポイントにリンクするiframe内でmix-blend-modeプロパティを使用すれば、標的になったiframe内で要素をレンダリングする中で視覚的コンテンツの内容を識別することが可能だという。

　「iframeのコンテンツに直接アクセスすることはできない。だが、iframeに（別の要素を）オーバーレイし、下のピクセルに対してグラフィカルなインタラクションを発生させることはできる」「これらのオーバーレイは攻撃者のサイトが制御しているので、グラフィカルなインタラクションにかかる時間を測定することができる」（Weiser氏）

　Weiser氏はmix-blend-modeの中には下のレイヤの色によって時間が変わるものがあると述べる。

　「テストしたレイヤにX色が使われていれば、Y色よりもレンダリングに時間がかかる、という風に測定していくと、個々のピクセルの色が特定できる。HTMLの情報は抜き出せないが、標的になったiframeの視覚的な情報を読み取れる」

　Googleは2017年末の「Chrome 63」で、Mozillaは数週間前の「Firefox 60」で同脆弱性を修正している。mix-blend-modeをサポートしていない「Internet Explorer」や「Microsoft Edge」はこの問題の影響を受けない。

　研究者らはFacebookにも問題を報告したが、すべてのエンドポイントを削除しなければならないため修正は不可能だとの結論に至っている。