這就是所謂的旁路攻擊(Side Channel Attacks)��,因為它不是由軟件本身的缺陷造成的,而是由它運行的系統(tǒng)造成的��。在這個案例中��,該漏洞歸因于2016年CSS層疊樣式表(Cascading Style Sheets)標(biāo)準(zhǔn)中引入的一項新功能��。該功能稱為“mix-blend-mode”混合模式��,通過iframe將Facebook頁面嵌入到第三方網(wǎng)站時候��,可以泄露可視內(nèi)容(從技術(shù)角度來說就是像素)��。
通常情況下��,這不應(yīng)該是因為網(wǎng)頁瀏覽器實施的同源策略��。當(dāng)然��,如果是這樣的話��,那么這個漏洞首先就不存在了��。該漏洞不會直接從Facebook配置文件中提取圖像或文本��。相反��,它分析每個像素��,并在文本情況下使用光學(xué)字符識別來提取有意義的單詞��,如姓名或帖子��。這可能看起來像很多工作��,但實際上只需要20秒鐘就能完成��。
據(jù)Ars Technica報道��,安全研究人員DarioWei?er和Ruslan Habalov披露了Google和Firefox的漏洞��,Google已經(jīng)修復(fù)了瀏覽器以阻止未來的嘗試��。但是��,盡管如此��,2016年至2017年年末仍有許多人不受保護(hù)��。研究人員報告稱��,由于原因尚不清楚,蘋果的Safari瀏覽器��、微軟Internet Explorer和Edge瀏覽器也未受影響��,因為它們甚至沒有實現(xiàn)標(biāo)準(zhǔn)“mix-blend-mode”模式功能��。
