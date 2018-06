Luca Colantuoni,

Facebook è al centro dell’attenzione per l’imponente furto di dati operato da Cambridge Analytica, quindi ogni nuovo accesso non autorizzato ottiene subito una risonanza mediatica. Stavolta però l’azienda di Menlo Park non ha nessuna colpa perché alcune informazioni degli utenti sono state sottratte da Chrome e Firefox.

A causa di una non corretta implementazione dello standard CSS (Cascading Style Sheet), i browser di Google e Mozilla hanno lasciato aperta la porta a possibili attacchi di tipo side-channel effettuati se l’utente visita un sito creato ad hoc. Utilizzando la funzionalità “mix-blend-mode” introdotta nel 2016 è possibile accedere ai contenuti visivi pubblicati su Facebook e inseriti all’interno di un iframe. La vulnerabilità consente quindi di eludere la policy same-origin che vieta ad un dominio l’accesso ai contenuti ospitati su un altro dominio.

L’exploit sviluppato da due ricercatori di sicurezza usa un iframe collegato ai social plugin di Facebook che consentono la visualizzazione del pulsante di login e del pulsante Mi piace nelle pagine web. Sfruttando il mix-blend-mode dello standard CSS3 è possibile ricavare informazioni dalle immagini ospitate dai plugin di Facebook. Usando il riconoscimento ottico dei caratteri (OCR), un malintenzionato può leggere le parole presenti nelle immagini, tra cui il nome utente.

Google e Mozilla hanno corretto la vulnerabilità in Chrome 63 e Firefox 60. Internet Explorer e Edge sono immuni perché non implementano la funzionalità mix-blend-mode.