Zum Inhalt wechseln

Als Gast hast du nur eingeschränkten Zugriff!


Anmelden 

Benutzerkonto erstellen

Du bist nicht angemeldet und hast somit nur einen sehr eingeschränkten Zugriff auf die Features unserer Community.
Um vollen Zugriff zu erlangen musst du dir einen Account erstellen. Der Vorgang sollte nicht länger als 1 Minute dauern.

  • Antworte auf Themen oder erstelle deine eigenen.
  • Schalte dir alle Downloads mit Highspeed & ohne Wartezeit frei.
  • Erhalte Zugriff auf alle Bereiche und entdecke interessante Inhalte.
  • Tausche dich mich anderen Usern in der Shoutbox oder via PN aus.
 

   

Foto

Chrome & Firefox: Facebook-Nutzer via CSS deanonymisierbar

- - - - -

  • Bitte melde dich an um zu Antworten
Eine Antwort in diesem Thema

#1
PaulaAbdul

PaulaAbdul

    Favoured Management

  • Administration
  • Likes
    3742
  • 2158 Beiträge
  • 3746 Bedankt
  • 1337-699
  • verifiziert
  • Android [root]
  • Windows, Linux

Chrome und Firefox: Facebook-Nutzer via CSS deanonymisierbar

 

gBoLHLV.png

 

Eine Schwachstelle in CSS konnte dazu führen, dass Angreifer persönliche Informationen von Facebook-Mitgliedern über Chrome und Firefox auslesen. Beide Browser sind mittlerweile gefixt.


Sicherheitsforscher haben eine Schwachstelle in der Stylesheet-Sprache Cascading Style Sheets (CSS) ausgenutzt, um auf persönliche Daten von Facebook-Nutzern zuzugreifen. Ihre Attacke funktionierte ausschließlich in Chrome und Firefox. Ein derartiger Übergriff kann aber unter gewissen Voraussetzungen auch auf andere Seiten als Facebook angewendet werden.

Chrome ist seit Version 63 und Firefox seit Ausgabe 60 davor geschützt. Nun haben die Sicherheitsforscher

Please Login HERE or Register HERE to see this link!

veröffentlicht. Bereits im März 2017 war ein anderer Forscher auf

Please Login HERE or Register HERE to see this link!

gestoßen.

Die Schwachstelle klafft im CSS3-Feature mix-blend-mode. Damit kann man bestimmen, wie grafische Objekte optisch mit einem Hintergrund verschmelzen. Chrome und Firefox unterstützen das Feature komplett.

Damit ein Übergriff klappt, müsste ein Angreifer Opfer auf eine präparierte Webseite locken. Dort finden sich via Inlineframe eingebettete Elemente von andere Webseiten †“ beispielsweise Widgets von Facebook.

 

Seitenkanal-Attacke

Als Angriffswaffe kommt ein Stapel von DIV-Layern mit verschiedenen Blend-Modi zum Einsatz, die einen Inlineframe überlagern. Während Chrome und Firefox den Stack rendern, könne man Rückschlüsse auf den Inhalt eines Inlinframes ziehen, führen die Sicherheitsforscher aus. Bewegt man den Stack nun pixelweise über das Element und fährt so den kompletten Inlineframe ab, kann man die gescannten Pixel beispielsweise zu einem Facebook-Profilbild zusammenfügen.

Wer bei Facebook eingeloggt ist, kann den Angriff auf einer

Please Login HERE or Register HERE to see this link!

ausprobieren und so etwa sein Profilbild rekonstruieren lassen. Eigentlich sind Inlineframes vor Schnüffeleien geschützt. Doch dieser neuartige Ansatz kollidiert nicht mit den bisherigen Schutzmechanismen (Stichwort: Same-Origin-Policy).

 

Weitere Attacken in diesem Stil am Horizont?

Damit Angriffe dieser Art nicht mehr möglich sind, setzt das Feature mix-blend-mode bei der Berechnung nun auf Vektorisierung. Die Sicherheitsforscher gehen jedoch davon aus, dass Angreifer ähnliche Attacken mit weiteren grafischen Möglichkeiten von CSS oder HTML5 fahren könnten.

 

 

Quelle:

Please Login HERE or Register HERE to see this link!


  • SecurityFlaw und Klaus gefällt das

401a3d5869.jpg

 

,,Der blaue Baum" von Prohex (2020)


#2
Ch!ller

Ch!ller

    Shinigami

  • SubMod
  • PIPPIPPIPPIPPIPPIPPIPPIPPIPPIP
  • Likes
    958
  • 896 Beiträge
  • 1386 Bedankt
  • Spender
  • verifiziert

Sry das ich hier in einen Newsthread poste, aber war man über Facebook jemals Anonym ? i dont think so...


  • vôl gefällt das
Alle Angaben und Informationen dienen lediglich der Theorie!



  Thema Forum Themenstarter Statistik Letzter Beitrag

Auch mit einem oder mehreren dieser Stichwörter versehen: News


Dieses Thema wurde von 28 Mitglied(ern) gelesen


    3even, Blackhook, Bot4ng, Ch!ller, fl4shx, Giganet, gr33d, hacked, hanshenkelman, Island, Jack_Frost, kiwitone, Klaus, lolorollo, madamor45xx, Mofug, nibble nibble, PaulaAbdul, pepeSito, ProHex, Rogerlopensio, saulus, SecurityFlaw, Smn, sniffer, t33t86, vôl, Zerobyte
Die besten Hacking Tools zum downloaden : Released, Leaked, Cracked. Größte deutschsprachige Hacker Sammlung.