隨著Chrome 68的發(fā)布，Google在其瀏覽器上突出顯示所有非HTTPS網(wǎng)站為“不安全”來源，這一舉動使互聯(lián)網(wǎng)更安全。

在更新之前，還有另一個重要的原因，使需要立即切換最新版本的Chrome網(wǎng)絡(luò)瀏覽器成為必要之舉。來自Imperva的安全研究員Ray Masas發(fā)現(xiàn) 了一個Web瀏覽器漏洞，讓攻擊者發(fā)現(xiàn)只需誘騙你訪問一個網(wǎng)站就可以獲取其他網(wǎng)絡(luò)平臺（如Facebook和Google）的一切數(shù)據(jù) ，以及他們所需要的一切。該漏洞被標識為CVE-2018-6177，利用了音頻/視頻HTML標簽的弱點，并影響了由“Blink 引擎”驅(qū)動的所有網(wǎng)絡(luò)瀏覽器，這其中包括谷歌瀏覽器。

為了說明攻擊情景，研究人員舉了一個Facebook的例子，這是一個流行的社交媒體平臺，收集有關(guān)用戶的詳細信息，包括年齡、性別、曾經(jīng)去過的地點（位置數(shù)據(jù)）和興趣，即喜歡和不喜歡什么。Facebook為頁面管理員提供帖子定位功能，允許他們根據(jù)時間、地點、性別和興趣為特定帖子定義目標受眾或受限制的受眾。

攻擊原理

為了證明這一漏洞，研究人員創(chuàng)建了多個Facebook帖子，包含了受限制群體的不同組合，以根據(jù)他們的年齡、地點、興趣或性別對其進行分類。現(xiàn)在，如果網(wǎng)站將所有這些Facebook帖子嵌入網(wǎng)頁，則會加載根據(jù)Facebook上與受限制的群眾設(shè)置相匹配的個人資料數(shù)據(jù)，在訪客端僅顯示一些特定帖子。

例如，如果定義僅對26歲的男性Facebook用戶且對黑客攻擊或信息安全方面有興趣可見，如果成功加載，攻擊者可以潛在地了解訪問者的個人信息，無論他們的隱私如何設(shè)置。盡管這個想法聽起來非常簡單并且令人震驚，但網(wǎng)站管理員無法直接確定是否有嵌入式帖子已成功加載特定訪問者。

由于跨域資源共享（CORS）—— 一種瀏覽器安全機制，可以防止網(wǎng)站在未經(jīng)明確許可的情況下閱讀其他網(wǎng)站的內(nèi)容。但是，Imperva研究員發(fā)現(xiàn)，因為音頻和視頻HTML標簽不會驗證內(nèi)容類型對于獲取的資源或拒絕具有無效MIME類型的響應(yīng)，攻擊者可以在網(wǎng)站上使用多個隱藏的視頻或音頻標簽來請求Facebook帖子。

雖然此方法不會按預(yù)期顯示Facebook帖子，但它確實允許攻擊者控制的網(wǎng)站（使用JavaScript）測量跨源資源的大小和請求數(shù)量，以找出哪些特定帖子已成功從Facebook獲取個人訪客信息。

“幾個腳本同時運行 ， 每個腳本都在測試一個獨特的限制 ，攻擊者可以相對快速地挖掘大量關(guān)于用戶的私人數(shù)據(jù)”，“我們發(fā)現(xiàn)通過工程站點返回的響應(yīng)大小取決于當前記錄的用戶屬性，可以使用此方法提取有價值的信息。”Masses說。

谷歌安全團隊的一名成員指出，該漏洞也可能對使用API獲取用戶會話特定信息的網(wǎng)站起作用。此漏洞的核心與另一個瀏覽器漏洞（今年6月已打補?。┯幸恍┫嗨浦?，該漏洞利用Web瀏覽器處理對視頻和音頻文件的跨源請求，允許攻擊者讀取用戶的Gmail或私人Facebook消息的內(nèi)容。

Imperva研究員向Google報告了漏洞并提交了Poc利用，Chrome團隊在Chrome68中修夏了此問題。因此，強烈建議Chrome用戶將瀏覽器更新到最新版本（如果尚未更新）。