前言

近期，安全研究專家發現了一種利用社交媒體或其他網站使用者遮蔽功能的手機麻將外掛新方法…

在社交媒體和其他網站上遮蔽使用者，是一種保護隱私和提升個人資訊保安的常見選擇，但是安全研究專家近期發現了一種濫用該功能的新方法，而這種技術將允許攻擊者訪問使用者的隱私資訊。

攻擊簡介

研究人員發現很多當前主流的社交網站都無法抵禦這種側通道側通道攻擊技術，其中包括Facebook、Instagram、Tumblr、Google+、Twitter、eBay、PornHub、Medium、Xbox Live、Ashley Madison、Roblox和Xvideos在內。目前，Twitter和eBay已經修復了該漏洞，而Microsoft Edge、Microsoft IE和Mozilla Firefox也已經針對此類攻擊添加了新的防護功能。

研究人員表示：“無論大家設計的安全演算法有多複雜，攻擊者總會想辦法破解或繞過它們。我們所介紹的側通道攻擊技術就是其中一種實踐案例。因此，安全提供商還需要設計更加複雜的安全服務來識別和防禦此類攻擊。”

攻擊機制

這種側通道攻擊技術利用的是社交平臺的使用者遮蔽功能，這種功能會要求特定的Web頁面返回特定的Web內容。如果目標使用者已經在瀏覽器中登入了社交媒體平臺，那麼當用戶同時又訪問了攻擊者的惡意網站，那麼攻擊者此時就能夠對該使用者發動攻擊了。接下來，攻擊者將能夠悄悄地與目標使用者所登入的社交媒體平臺進行通訊，並從其賬戶中竊取個人資訊。

研究人員在攻擊白皮書中寫到：“我們認為，社交媒體網站上的這種屬性可以概括為“可視控制”，而這也是該攻擊技術實現的基礎。攻擊者在拿到目標賬號之後，可以通過側通道來實現對資料的靈活控制。在這種機制下，攻擊者將能夠針對社交網站服務發動大規模的使用者攻擊。”

這種攻擊技術能夠竊取目標使用者的基本資訊，包括姓名、個人活動和釋出的訊息等等。研究人員表示：“使用者遮蔽功能允許使用者以視覺化的形式控制自己的賬號是否可以被他人檢視，但是攻擊者首先要嘗試通過電子郵件或其他方式的網路釣魚攻擊來讓使用者訪問攻擊者搭建的惡意網站。”

如果攻擊者針對的是手機麻將外掛使用者，那麼他們還需要進行一系列跨站請求偽造(CSRF)攻擊。這樣一來，攻擊者就可以繞過網站部署的同源策略，然後獲取到目標使用者的個人資訊。在這一步，攻擊者還需要通過JavaScript程式碼並在一定時間週期內檢測目標使用者的社交媒體賬號的使用者遮蔽狀態。

解決方案

目前抵禦此類攻擊的方法就是啟用SameSite功能，這種功能可以移除跨站請求的cookie，而且Microsoft和Mozilla都已經在各自的瀏覽器中採用了SameSite技術。研究人員表示：“這種功能可以有效地抵禦CSRF攻擊和我們的側通道攻擊。”

除此之外，廣大社交媒體使用者可以通過啟用隱私瀏覽模式或及時登出(登出)賬號的方式來保護自己的安全。