Abo
  • IT-Karriere:

Chrome und Firefox: CSS-Angriff ermöglicht Rückschlüsse auf iFrame-Inhalte

Ein Seitenkanal in einer CSS-Funktion ermöglicht Rückschlüsse auf die Inhalte von iFrames, die in bösartigen Webseiten eingebaut werden. Forscher konnten so an den Facebook-Namen und das Profilfoto eines Opfers gelangen. Die Lücke ist in Chrome und Firefox behoben.

Artikel veröffentlicht am ,
Der Angriff nutzt verschiedene Schichten, um die Farbe der untersten abzuleiten.
Der Angriff nutzt verschiedene Schichten, um die Farbe der untersten abzuleiten. (Bild: Ruslan Habalov, Evonide.com)

Mehrere Sicherheitsforscher haben unabhängig voneinander einen Seitenkanal in der CSS3-Funktion Mix-Blend-Mode gefunden, der in den Browsern Chrome und Firefox dazu genutzt werden konnte, Rückschlüsse auf die Inhalte von iFrames zu ziehen, die in bösartigen Webseiten eingebunden werden konnten. Zur Demonstration des erfolgreichen Angriffs konnten die Forscher Ruslan Habalov und Dario Weißer den Facebook-Namen, das Profilfoto sowie den Like-Status einer Webseite des Opfers auslesen, sofern dieses bei Facebook angemeldet gewesen ist.

Stellenmarkt
  1. Wirecard Technologies GmbH, Aschheim bei München
  2. über Hays AG, München

Die Sicherheitslücke wurde bereits im vergangenen Jahr unabhängig davon durch Max May gefunden und an das Team des Chrome-Browsers gemeldet. Die Lücke (CVE-2017-15417) ist in Chrome Version 63 behoben worden, die Ende 2017 erschienen ist. Ebenfalls betroffen war auch der Firefox-Browser, der mit der aktuellen Version 60 ein Update zum Schließen der Lücke erhalten hat.

Den Forschern zufolge sind der Internet Explorer und der Edge-Browser nicht von der Lücke betroffen, da diese die verwendete Funktion nicht unterstützen. Apples Safari-Browser sei demnach ebenso nicht für den konkreten Angriff anfällig. Der Forscher Dario Weißer sagte dem US-Magazin Ars Technica jedoch, dass er aufgrund der vielfältigen grafischen Funktionen moderner Webtechniken von weiteren ähnlichen, aber noch nicht bekannten Fehlern ausgehe.

Inhalte errechnen statt auslesen

Der von Habalov und Weißer vorgestellte Angriff umgeht gezielt bestehende Sicherheitsmaßnahmen, die eigentlich die Anzeige von Inhalten externer Seiten verhindern sollen, die per iFrame in eine bösartige Seite eingebettet werden. Der tatsächliche Inhalt des iFrames kann auch weiterhin nicht direkt ausgelesen werden, diesem wird sich vielmehr gezielt angenähert.

Mithilfe des Mix-Blend-Modes von CSS lassen sich Inhalte eines Elements mit dem Hintergrund verschmelzen. Die Forscher nutzen das aus, indem eigene DIV-Schichten über das Element des iFrames gelegt werden, der ausgelesen werden soll.

Da die Angreifer die obenliegenden Schichten manipulieren können, lässt sich die Zeit der grafischen Interaktion mit darunterliegenden Schichten messen. Je nach Farbe des darunterliegenden Pixels dauert die Interaktion unterschiedlich lang. So lässt sich für jedes Pixel des iFrames dessen Farbe näherungsweise bestimmen.

Aus dem daraus entstehenden Bild wiederum können persönlichen Informationen wie eben der Facebook-Name oder auch das Profilfoto gewonnen werden. Besonders effektiv ist der demonstrierte Angriff jedoch nicht. So benötigten die Forscher 20 Sekunden, um den Namen abzuleiten, und sogar fünf Minuten für eine eher schlechte Näherung des originalen Profilfotos.

Zwar habe man den Angriff nur gegen Facebook demonstriert, die Forscher sind sich aber sicher, dass darüber auch eine Vielzahl anderer Informationen anderer Webseiten hätten ausgelesen werden können. "Wir erwarten, dass in den kommenden Jahren immer mehr solcher Schwachstellen entdeckt werden", heißt es am Ende des Blogeintrags der Forscher.



Anzeige
Spiele-Angebote
  1. (-67%) 17,99€
  2. 4,99€
  3. 2,69€
  4. 5,95€

Baertiger1980 02. Jun 2018

Das Internet hat keine Zukunft :D

Airblader 01. Jun 2018

... Wird aber nirgendwo erwähnt. Einen Timing-Angriff auf iframes mittels CSS gab es...

Schattenwerk 01. Jun 2018

Praxisnah hin oder her, ich bin immer wieder beeindruckt, wie Menschen doch auf so Ideen...


Folgen Sie uns
       


Doom Eternal angespielt

Slayer im Kampf gegen die Höllendämonen: Doom Eternal soll noch in diesem Jahr erscheinen.

Doom Eternal angespielt Video aufrufen
Google Maps: Karten brauchen Menschen statt Maschinen
Google Maps
Karten brauchen Menschen statt Maschinen

Wenn Karten nicht mehr von Menschen, sondern allein von Maschinen erstellt werden, erfinden diese U-Bahn-Linien, Hochhäuser im Nationalpark und unmögliche Routen. Ein kurze Liste zu den Grenzen der Automatisierung.
Von Sebastian Grüner

  1. Kartendienst Google bringt AR-Navigation und Reiseinformationen in Maps
  2. Maps Duckduckgo mit Kartendienst von Apple
  3. Google Maps zeigt Bikesharing in Berlin, Hamburg, Wien und Zürich

IT-Arbeitsmarkt: Jobgarantie gibt es nie
IT-Arbeitsmarkt
Jobgarantie gibt es nie

Deutsche Unternehmen stellen weniger ein und entlassen mehr. Es ist zwar Jammern auf hohem Niveau, aber Fakt ist: Die Konjunktur lässt nach, was Arbeitsplätze gefährdet. Auch die von IT-Experten, die überall gesucht werden?
Ein Bericht von Peter Ilg

  1. IT-Standorte Wie kann Leipzig Hypezig bleiben?
  2. IT-Fachkräftemangel Arbeit ohne Ende
  3. IT-Forensikerin Beweise sichern im Faradayschen Käfig

Raspberry Pi 4B im Test: Nummer 4 lebt!
Raspberry Pi 4B im Test
Nummer 4 lebt!

Das Raspberry Pi kann endlich zur Konkurrenz aufschließen, aber richtig glücklich werden wir mit dem neuen Modell des Bastelrechners trotz bemerkenswerter Merkmale nicht.
Ein Test von Alexander Merz

  1. Eben Upton Raspberry-Pi-Initiator spielt USB-C-Fehler herunter
  2. 52PI Ice Tower Turmkühler für Raspberry Pi 4B halbiert Temperatur
  3. Kickstarter Lyra ist ein Gameboy Advance mit integriertem Raspberry Pi

    •  /