Especialistas de segurança da Evonide identificaram uma falha no Chrome e no Firefox que permitia a alguns sites “roubarem” algumas informações do perfil do usuário no Facebook. Esses dados não incluíam informações sensíveis, mas apenas fotos de perfis e nomes de usuário.
Segundo relata o blog da companhia de segurança, a falha tinha origem em uma implementação de 2016 que adicionou aos navegadores um novo padrão de CSS, a linguagem de estilo mais popular da atualidade. Esse novo padrão conta com a função “mix-blend-mode”, justamente a brecha de segurança para o vazamento.
De acordo com os especialistas, ela permitia que sites com um iframe linkado ao Facebook pudessem fornecer informações pessoais como nome e foto de perfil do usuário. Em suma, um invasor poderia elaborar o ataque de causa lateral para usar uma página da web para obter informações que não deveriam ser obtidas dessa maneira.
Falha de segurança esteve presente por mais de um ano no Chrome e no Firefox, mas já foi corrigida
A falha de segurança identificada em dois dos navegadores mais populares do planeta existia, também, porque a chamada política de mesma origem podia ser superada pelos hackers de maneira relativamente simples. Em teoria, ela deveria impedir que o conteúdo armazenado em um domínio fosse acessado por uma página de outro domínio.
Como de praxe, o problema foi revelado às desenvolvedoras de cada programa, que já aplicaram correções. Se você utiliza o Chrome 63 ou superio e o Firefox 60 ou superior não há com o que se preocupar.
Fontes
Categorias