Chrome ve Firefox, Facebook profilleri sızdırdı!

Chrome ve Firefox internet tarayıcılarındaki bir açık sebebiyle, zararlı üçüncü parti sitelerin kullanıcı profil fotoğrafı ve ismi gibi Facebook bilgilerini toplayabildiği ortaya çıkmış durumda. İşin ilginç tarafı, bu açığın 2016 yılında tanıtılan standart bir web özelliğinden kaynaklanıyor olması.

Bu güvenlik açığı yan kanal saldırısı olarak adlandırılıyor. Yazılımların kendisindeki bir kusurdan kaynaklanmayan bu saldırı, yazılımın üzerinde çalıştığı sistemden dolayı böyle bir güvenlik sorununa sebebiyet veriyor. 2016 yılında CSS standardı için mix-blend mode adında yeni bir özellik duyurulmuştu. Bu özelliğin Facebook sayfasındaki görsel içerikleri pikseller halinde üçüncü parti sitelere sızdırdığı görülüyor.

Hata, doğrudan Facebook profillerinden resim veya metin çıkarmıyor. Bunun yerine, her bir pikseli analiz ediyor. Metin halinde isimler ile mesajlar gibi anlamlı kelimeler çıkartmak içinse optik karakter tanıma kullanıyor. Süreç kalabalık gibi gözüküyor alabilir ancak tüm bu işlemler sadece 20 saniye sürüyor.

Dario Weißer and Ruslan Habalov adlı güvenlik araştırmacıları konuyla ilgili olarak Google ve Mozilla’ya bilgi verdiklerini ancak kullanıcıların 2016 ile 2017 yılı sonuna kadar korumasız kaldığını ifade ediyor. Apple Safari ya da Microsoft Internet Explorer ve Edge ise bu hatadan etkilenmemiş durumda. Araştırmacılar web teknolojileri ve standartları geliştikçe bu tarz güvenlik açıklarının daha fazla ortaya çıkabileceğinden endişe duyuyorlar.