Noticias de Seguridad informatica: Cyber Security News
Firefox y Chrome: Robo de perfiles de usuarios de FB a través de CSS3
Antecedentes:
Un grupo de investigadores de seguridad informó acerca de un fallo de segurdad introducido en los navegadores web Chrome y Firefox en 2016. En dicho año,
se implementó una de las últimas características de CSS3 denominada mix--blenf-mode
la cual está siendo usada para extraer todo tipo de información directamente de un perfil de Facebook.
Lo que hace es analizar pixel a pixel cada imagen o contenido multimedia dentro del perfil, utilizando técnicas de reconocimiento de caracteres, OCR, para extraer texto de relevancia, como el nombre o las publicaciones para luego insertarla en un iframe en una web de terceros.
[Fuente](https://blog.segu-info.com.ar/2018/06/robo-de-perfiles-de-usuarios-de-fb.html)
Esta vulnerabilidad se denomina: Side-channel attacking browsers through CSS3 features
Prueba de Concepto
En general, la explotación permite filtrar el nombre del usuario y la imagen de perfil como se puede ver arriba (El exploit requiere que haya iniciado sesión previamente en Facebook). Luego, inserta o incrusta un documento HTML dentro de un documento HTML principal en la página con sesión iniciada en Facebook y comienza a escanear / filtrar su contenido en el contexto local, como se puede ver en el cuadro gris de la parte inferior derecha de la imagen. Además, al alternar con una capa animada de un gato, se demuestra que esto puede suceder completamente en segundo plano sin que el usuario lo note.
Los resultados fueron:
* 20 segundos para filtrar el nombre de usuario.
* 5 minutos para filtrar una versión vaga del perfil de la imagen.
* 500 milliseconds para verificar el estado de los "likes" dados a cualquier sitio web específico.
Los investigadores demostraron el potencial de ataque contra Facebook. Sin embargo, en toda la web hay toneladas de otros recursos sensibles que podrían verse afectados por ataques como este de manera similar.
Solución:
Para eliminar esta vulnerabilidad y proteger su perfil de facebook contra la infección, debe mantener los dos navegadores actualizados.
Glosario:
CSS3
Hojas de estilo en cascada, es un lenguaje de diseño gráfico para definir y crear la presentación de un documento estructurado escrito en un lenguaje de marcado.mix--blenf-mode
Propiedad que describe cómo el contenido de un elemento debe mezclarse con el contenido del elemento que está tras él y con el fondo del elemento.OCR (del inglés Optical Character Recognition)
Reconocimiento óptico de caracteres, es un proceso dirigido a la digitalización de textos, los cuales identifican automáticamente a partir de una imagen símbolos o caracteres que pertenecen a un determinado alfabeto, para luego almacenarlos en forma de datos. Así podremos interactuar con estos mediante un programa de edición de texto o similar.Exploit
Exploit es una palabra inglesa que significa explotar o aprovechar, y que en el ámbito de la informática es un fragmento de software, fragmento de datos o secuencia de comandos o acciones, utilizada con el fin de aprovechar una vulnerabilidad de seguridad de un sistema de información para conseguir un comportamiento no deseado del mismo.