یک آسیب‌پذیری در مرورگر گوگل کروم کشف شده است که با بهره‌برداری از آن، داده‌های خصوصی که در فیس‌بوک، گوگل و یا سایر وب‌سایت‌ها ذخیره شده است، افشاء می‌شود. برای بهره‌برداری از این آسیب‌پذیری از تگ‌های HTML صوت و ویدئو و توابع فیلترینگ در وب‌سایت‌ها استفاده می‌شود. این آسیب‌پذیری در واقع در ماشین Blink  وجود دارد که برای توسعه‌ی مرورگر کروم مورد استفاده قرار گرفته است. این بهره‌برداری به مهاجم اجازه می‌دهد تا تگ‌های مخفی صوت و ویدئو را در مرورگر کاربران از همه‌جا بی‌خبر در وب‌سایت‌ها تزریق کند.

جریان این حمله با متقاعد کردن قربانی به بازدید از یک وب‌سایت مخرب آغاز می‌شود. در این وب‌سایت مخرب اسکریپت‌ها از طریق تگ‌های مخفی که در حال اجرا هستند، تزریق شده است. اگر قربانی صفحه‌ی فیس‌بوک را باز کرده باشد، اسکریپت تزریق‌شده می‌تواند درخواست‌هایی را به سمت صفحه‌ی فیس‌بوک که برای مخاطبان آن محدودیت‌هایی تعریف شده است، ارسال کند. در ادامه مهاجم می‌تواند متوجه شود چه محدودیت‌هایی برای مشاهده‌ی محتوای این صفحه‌ی فیس‌بوک تعریف شده و کاربر مورد نظر این موارد را دارد یا خیر. از جمله‌ی این محدودیت‌ها می‌توان شهر، سن و جنسیت را نام برد.

در حالت کلی مهاجم می‌تواند یک بازی ۲۰ سوالی را با پروفایل کاربر راه بیندازد. از همین درخواست‌ها در ادامه برای استنتاج داده‌هایی در مورد قربانی می‌توان استفاده کرد و اینجاست که حریم خصوصی کاربران به‌طور کامل زیر سوال خواهد رفت. هرچند به نظر می‌رسد این حمله نارکارامد باشد ولی با اجرای همزمان این اسکریپت‌ها در بازه‌ی زمانی کوتاهی، حجم زیادی از اطلاعات در مورد قربانی جمع‌آوری خواهد شد. 

هرچند موضوع کلی که در خصوص این حملات بیان می‌شود، مسأله‌ی حریم خصوصی است ولی این حمله می‌تواند تبعات دیگری نیز داشته باشد. فرض کنید در یک وب‌سایت تجارت الکترونیک برای ثبت‌نام، لازم باشد کاربر ایمیلی را ثبت کند. در ادامه مهاجم خواهد توانست اطلاعات شخصی را به اطلاعات ورود قربانی متصل کرده و برای انجام عملیات مخرب‌تری از آن‌ها استفاده کند. این آسیب‌پذیری کروم ۶۷ و نسخه‌های قبل‌تر را تحت تاثیر قرار داده است. گوگل این اشکال را در کروم  ۶۸ وصله کرده و به کاربران توصیه می‌شود هرچه سریع‌تر مرورگر خود را به‌روزرسانی کنند.

منبع