Chrome und Firefox: CSS-Angriff ermöglicht Rückschlüsse auf iFrame-Inhalte
Mehrere Sicherheitsforscher haben unabhängig voneinander einen Seitenkanal in der CSS3-Funktion Mix-Blend-Mode gefunden(öffnet im neuen Fenster) , der in den Browsern Chrome und Firefox dazu genutzt werden konnte, Rückschlüsse auf die Inhalte von iFrames zu ziehen, die in bösartigen Webseiten eingebunden werden konnten. Zur Demonstration des erfolgreichen Angriffs konnten die Forscher Ruslan Habalov und Dario Weißer den Facebook-Namen, das Profilfoto sowie den Like-Status einer Webseite des Opfers auslesen, sofern dieses bei Facebook angemeldet gewesen ist.
Die Sicherheitslücke wurde bereits im vergangenen Jahr unabhängig davon durch Max May gefunden und an das Team des Chrome-Browsers gemeldet(öffnet im neuen Fenster) . Die Lücke (CVE-2017-15417) ist in Chrome Version 63 behoben worden, die Ende 2017 erschienen ist. Ebenfalls betroffen war auch der Firefox-Browser, der mit der aktuellen Version 60 ein Update zum Schließen der Lücke erhalten hat.
Den Forschern zufolge sind der Internet Explorer und der Edge-Browser nicht von der Lücke betroffen, da diese die verwendete Funktion nicht unterstützen. Apples Safari-Browser sei demnach ebenso nicht für den konkreten Angriff anfällig. Der Forscher Dario Weißer sagte dem US-Magazin Ars Technica(öffnet im neuen Fenster) jedoch, dass er aufgrund der vielfältigen grafischen Funktionen moderner Webtechniken von weiteren ähnlichen, aber noch nicht bekannten Fehlern ausgehe.
Inhalte errechnen statt auslesen
Der von Habalov und Weißer vorgestellte Angriff umgeht gezielt bestehende Sicherheitsmaßnahmen, die eigentlich die Anzeige von Inhalten externer Seiten verhindern sollen, die per iFrame in eine bösartige Seite eingebettet werden. Der tatsächliche Inhalt des iFrames kann auch weiterhin nicht direkt ausgelesen werden, diesem wird sich vielmehr gezielt angenähert.
Mithilfe des Mix-Blend-Modes von CSS(öffnet im neuen Fenster) lassen sich Inhalte eines Elements mit dem Hintergrund verschmelzen. Die Forscher nutzen das aus, indem eigene DIV-Schichten(öffnet im neuen Fenster) über das Element des iFrames gelegt werden, der ausgelesen werden soll.
Da die Angreifer die obenliegenden Schichten manipulieren können, lässt sich die Zeit der grafischen Interaktion mit darunterliegenden Schichten messen. Je nach Farbe des darunterliegenden Pixels dauert die Interaktion unterschiedlich lang. So lässt sich für jedes Pixel des iFrames dessen Farbe näherungsweise bestimmen.
Aus dem daraus entstehenden Bild wiederum können persönlichen Informationen wie eben der Facebook-Name oder auch das Profilfoto gewonnen werden. Besonders effektiv ist der demonstrierte Angriff jedoch nicht. So benötigten die Forscher 20 Sekunden, um den Namen abzuleiten, und sogar fünf Minuten für eine eher schlechte Näherung des originalen Profilfotos.
Zwar habe man den Angriff nur gegen Facebook demonstriert, die Forscher sind sich aber sicher, dass darüber auch eine Vielzahl anderer Informationen anderer Webseiten hätten ausgelesen werden können. "Wir erwarten, dass in den kommenden Jahren immer mehr solcher Schwachstellen entdeckt werden" , heißt es am Ende des Blogeintrags der Forscher.