谷歌镀铬缺陷将隐私危险

一个安全研究人员警告说，谷歌Chrome和运行眨眼浏览器引擎的所有浏览器都可以使恶意演员在Facebook和其他平台中揭开私人数据。

“攻击者可以建立一个人的确切年龄或性别，因为它在Facebook上保存，无论其隐私设置如何，”安全公司Imperva的研究人员Ron Masas说。

根据MASA的说法，潜在的攻击者可以使用侧信机方法来滥用网站中的过滤功能，以推导出Facebook用户的年龄，性别，喜欢和位置历史，例如，通过使用音频和视频HTML标记来生成请求目标站点然后监视这些请求生成的进度事件。

这意味着攻击者可以“询问”一系列关于浏览器的标准。“例如，一个糟糕的演员可以为每个可能的年龄创建相当大的Facebook帖子，使用Theaudience RestrictionOption，使Facebook通过响应大小反映用户年龄，”他在博客帖子中写道。

大的响应大小表明限制不适用，而小的则表明内容受到限制，表明特定用户来自不允许的年龄或性别。

“有几个脚本一次运行 - 每次测试一个不同而独特的限制 - 坏演员可以相对迅速地挖掘有关用户的良好私有数据，”Masas说。

如果攻击者在需要电子商务网站的网站上运行攻击脚本，例如电子商务网站，则糟糕的演员可以将目录数据报表地址相关联，以便更广泛和更广泛的侵扰性分析。

“当用户访问坏actor站点时，网站注入了多个隐藏的视频或音频标签，该标签请求数字Facebook先前发布和限制使用不同技术的攻击者，”Masas说。“然后，攻击者可以分析每个请求，以指示例如用户的确切年龄，因为它在Facebook上保存，无论其隐私设置如何。”

Imperva报告了谷歌的漏洞，它通过修补Chrome的68版本中的漏洞来响应。

“我们强烈建议所有Chrome用户确保他们正在运行最新版本，”Masas说。