En kritisk sikkerhed fejl er blevet opdaget i LinkedIn, mere specifikt i en social knap. Den udnytter af fejlen kunne have ført til høst af LinkedIn brugernes oplysninger, herunder oplysninger, der ikke var offentlig. Opdagelsen blev gjort af Jack Cable, en 18-årig bug jæger fra Chicago.
Mere om LinkedIn Autofill Bug
Tilsyneladende, sårbarheden boet i platformens AutoFyld-funktion, der magter den tilsvarende ”Autoudfyld med LinkedIn” knapper, der er implementeret på nogle offentlige jobportaler. Knappen LinkedIn kan tilføjes på job ansøgningsskemaer, og ved at klikke gør en forespørgsel til LinkedIn. Når dette er en, brugerens oplysninger hentes og indlejret på jobbet app formular.
Selvom disse knapper er nyttige, de kan udnyttes af et websted for at høst brugeroplysninger. Knapperne kan skjules og lagt oven på en hel side, og enhver hjemmeside kunne integrere dem i hemmelighed, modificering knappens størrelse til at dække skærmen. Knappen kan blive usynlig ved blot at ændre nogle CSS-indstillinger.
Det er sådan et angreb udføres, som forklarede af den unge forsker:
1. Brugeren besøger ondsindet websted, der indlæser LinkedIn AutoFyld knappen iframe.
2. Den iframe er stylet, så det fylder hele siden og er usynlig for brugeren.
3. Brugeren klikker et vilkårligt sted på siden. LinkedIn fortolker dette som værende trykket på knappen AutoFyld, og sender oplysningerne via postMessage til ondsindet websted.
4. Sitet høster brugerens oplysninger via specifikke kode.
Endvidere, enhver bruger, der er landet på en sådan side kan have ubevidst indsendt LinkedIn oplysninger til hjemmesiden ved tilfældigt at klikke på siden.
Den udnytter af denne fejl er ikke en vanskelig opgave, og kunne have været gearede i naturen for masse data høst formål. Heldigvis, fejlen er blevet rettet, med kabel underretning LinkedIn om fejlen. LinkedIn derefter midlertidigt begrænset på knappen for at en whitelist med andre betroede domæner.
Takket være dette, angribere var ude af stand til at udnytte funktionen via ovenfor beskrevne mekanisme.