特定のサイトを訪問したユーザーのFacebookの情報(ユーザー名やプロフィール写真、「いいね!」の情報など)が漏えいしてしまう脆弱性が「Chrome」と「Firefox」で修正されていたことが明らかになった。
この脆弱性は、2016年に「CSS(Cascading Style Sheet)3」で追加された「mix-blend-mode」の、両ブラウザにおける実装方法に起因する。攻撃者は、クロスオリジンのiframeに表示された、Facebookのプロフィール写真などのコンテンツを読み取るサイドチャネル攻撃を仕掛けることが可能になっていた。
この脆弱性をセキュリティ研究者のDario Weiser氏とともに発見したGoogleのRuslan Habalovs氏は米国時間5月31日付のブログで、その詳細を説明している。同脆弱性を悪用するように作り込まれたウェブサイトをFacebookにログインしている状態で訪問すると、その利用者のFacebookでの情報が盗み出されてしまうそうだ。デモではFacebookを標的にしているが、iframeに埋め込むことができる、Facebookのログインボタンなどの「エンドポイント」のあるウェブサイトなら悪用の対象になり得るという。
Weiser氏もArs Technicaに攻撃方法を説明している。Facebookなどのエンドポイントにリンクするiframe内でmix-blend-modeプロパティを使用すれば、標的になったiframe内で要素をレンダリングする中で視覚的コンテンツの内容を識別することが可能だという。
「iframeのコンテンツに直接アクセスすることはできない。だが、iframeに(別の要素を)オーバーレイし、下のピクセルに対してグラフィカルなインタラクションを発生させることはできる」「これらのオーバーレイは攻撃者のサイトが制御しているので、グラフィカルなインタラクションにかかる時間を測定することができる」(Weiser氏)
Weiser氏はmix-blend-modeの中には下のレイヤの色によって時間が変わるものがあると述べる。
「テストしたレイヤにX色が使われていれば、Y色よりもレンダリングに時間がかかる、という風に測定していくと、個々のピクセルの色が特定できる。HTMLの情報は抜き出せないが、標的になったiframeの視覚的な情報を読み取れる」
Googleは2017年末の「Chrome 63」で、Mozillaは数週間前の「Firefox 60」で同脆弱性を修正している。mix-blend-modeをサポートしていない「Internet Explorer」や「Microsoft Edge」はこの問題の影響を受けない。
研究者らはFacebookにも問題を報告したが、すべてのエンドポイントを削除しなければならないため修正は不可能だとの結論に至っている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス