Une faille dans Blink (Chrome) permettait de « jouer aux devinettes » avec votre vie privée

Ron Masas d'Imperva explique que cette brèche exploite les balises HTML audio et vidéo pour générer des requêtes précises vers un serveur cible. Celles-ci peuvent être utilisées pour « poser » des questions sur l'utilisateur du navigateur.

Pour cela, le pirate met en place des campagnes publicitaires sur des réseaux sociaux (Facebook par exemple), en utilisant la restriction d'audience pour tous les âges/genres possibles.

Via un site spécialement conçu pour cette attaque, un pirate injecte plusieurs balises vidéo ou audio cachées demandant aux publications programmées sur Facebook de s'afficher. Logiquement, le mécanisme de sécurité Cross-Origin Resource Sharing protège les utilisateurs, mais l'équipe d'Imperva a trouvé un moyen de passer outre cette protection.

Google a bouché la faille dans Chrome 68, mis en ligne fin juillet, et offert une récompense de 500 dollars à Ron Masas.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !