Kwetsbaarheid in Google Chrome legt privégegevens Facebook bloot

Er is een nieuwe kwetsbaarheid gevonden in Google Chrome, die iedereen behalve gebruikers van de nieuwste versie. Dat meldt Imperva vandaag. De kwetsbaarheid zou misbruikt kunnen worden om de apparaten van gebruikers te hacken, en gevoelige informatie van Facebook en andere platformen te stelen.

De onderzoekers kwamen achter de bug nadat ze de Blink-engine in Google Chrome gebruikten om de browser te kraken. De kwetsbaarheid is in de nieuwste versie van Chrome al opgelost, maar niet in oudere versies. Aangezien 58 procent van de Chrome-gebruikers een verouderde versie heeft, zijn nog veel mensen kwetsbaar voor de bug.

Persoonlijke informatie

Volgens Imperva kunnen aanvallers, ongeacht de privacyinstellingen van een gebruiker, informatie van Facebook buitmaken. Zo kunnen de leeftijd en het geslacht van een gebruiker vastgesteld worden. Ook andere informatie kan gestolen worden, zolang de aanvallers maar meerdere scripts laten draaien om de kwetsbaarheid uit te testen.

Het probleem ligt in de audio/video html-tags, die gegenereerd worden om verzoeken op een bepaalde plek te brengen. Als iemand Facebook bezoekt, worden die tags in Chrome geïmplementeerd. Het is vervolgens mogelijk om de browser vragen te stellen op basis van de pagina die bezocht wordt, waarmee relatief eenvoudig persoonlijke data achterhaald kunnen worden.

Gat is gedicht

“Een kwaadwillende kan grote Facebook-berichten samenstellen voor elke mogelijke leeftijd, en gebruik maken van de Audience Restriction-optie, waarmee Facebook de leeftijd van de gebruiker vervolgens terugkoppelt,” aldus onderzoeker Ron Masas. “Dezelfde methode kan gebruikt worden om het geslacht, de likes en andere eigenschappen over gebruikers te achterhalen.”

Het gat is al gedicht in Chrome 68, nadat de onderzoekers van Imperva Google erover benaderden. Eens te meer blijkt hiermee hoe belangrijk het is om browsers up to date te houden.