Trang Arstechnica vừa cho biết rằng hơn một năm qua Chrome và Firefox đã làm lộ tên và thông tin của người dùng Facebook khi truy cập các website độc hại. Kẻ xấu lợi dụng tính năng “mix-blend-mode” được tích hợp vào năm 2016 nhằm phân tích các điểm ảnh để tạo ghép thành thông tin của người dùng.
Tính năng “mix-blend-mode” là một phần của chuẩn CSS (Cascading Style Sheet) được bổ sung vào Chrome 63 và Firefox 60. Tuy vậy nó tạo cơ hội cho kẻ xấu tận dụng để lấy thông tin Facebook của người dùng. Về bản chất thì đây được xem là tấn công gián tiếp vì nó không lợi dụng lỗ hổng của phần mềm mà là của hệ thống chạy nó. Cụ thể là nếu truy cập vào website có chèn iframe plugin của Facebook thì những thông tin của người dùng sẽ bị lộ ra dưới dạng hình ảnh, hay chính xác là các điểm ảnh tạo nên chúng.
Điều này có nghĩa là kẻ xấu không trực tiếp lấy được thông tin Facebook, thay vào đó chúng có thể sử dụng phẩn mềm để phân tích các điểm ảnh, và trong trường hợp của chữ là phần mềm nhận diện chữ quang học (nói nôm na là phân tích hình ra chữ) để tái tạo lại thông tin người dùng. Nghe thì có vẻ phức tạp nhưng thực chất điều này chỉ tốn máy tính khoảng 20 giây để hoàn tất.
Lỗi bảo mật này được phát hiện bởi nhóm nhà nghiên cứu độc lập Dario Weißer và Ruslan Habalov, và đã thông báo đến Google cũng như Firefox. 2 hãng này sau đó đã vá lỗi thông qua việc áp dụng chính sách same-origin policy, có thể hiểu đơn giản là chỉ chia sẻ thông tin nếu như website và khung iframe cùng một nguồn. Tuy vậy người dùng trong thời điểm 2016 đến 2017 vẫn có nguy cơ bị lộ thông tin không mong muốn.
Người dùng trình duyệt Safari và Microsoft Edge không bị ảnh hưởng bởi lỗi bảo mật này.
