Eine kritische Sicherheitslücke wird in LinkedIn entdeckt worden,, genauer gesagt in einem sozialen Schaltfläche. Der Exploit des Fehlers konnte der Ernte von LinkedIn Nutzer Informationen geführt, Informationen enthält, die nicht öffentlich. Die Entdeckung wurde gemacht von Jack Cable, ein 18-jähriger Bug Jäger aus Chicago.
Mehr zu dem LinkedIn Autofill Bug
Offenbar, die Verwundbarkeit residierte in der Autofill-Funktion der Plattform, die den entsprechenden „AutoFill mit LinkedIn“ Tasten Kräfte, die auf einigen öffentlichen Jobportalen umgesetzt werden. Die LinkedIn-Taste kann auf Bewerbungsformulare hinzugefügt werden, und bei Klick macht eine Abfrage zu LinkedIn. Sobald dies ist ein, die Informationen des Benutzers auf dem Job App Formular abgerufen und eingebettet.
Auch wenn diese Tasten sind nützlich, sie können von jeder Website zu ernten Benutzerinformationen ausgenutzt werden. Die Tasten können auf einer ganzen Seite versteckt und überlagert werden, und jede Website könnte betten sie heimlich, die Schaltfläche Größe zu modifizieren den Bildschirm zu decken. Die Taste kann durch einfaches Ändern einiger CSS-Einstellungen unsichtbar.
Dies ist, wie wird ein Angriff durchgeführt, als erklärt von den jungen Forschern:
1. Der Benutzer besucht die bösartige Site, die lädt die LinkedIn Schaltfläche AutoFill iframe.
2. Der iframe harmoniert, so dass es die ganze Seite einnimmt und ist für den Benutzer unsichtbar.
3. Der Benutzer klickt auf eine beliebige Stelle auf der Seite. LinkedIn interpretiert dies als die AutoFill-Taste gedrückt wird, und sendet die Informationen über postmessage auf die bösartige Site.
4. Die Website erntet die Informationen des Benutzers über spezifischen Code.
Weiter, Jeder Benutzer, der auf einer solchen Seite gelandet ist möglicherweise unwissentlich durch zufälliges Klicken auf die Seite LinkedIn Informationen auf der Website eingereicht.
Der Exploit dieses Fehlers ist nicht eine schwierige Aufgabe und in der freien Natur für die Massendatenernte Zwecke genutzt werden könnte. Glücklicherweise, Der Fehler wird behoben, mit Kabel-Benachrichtigung LinkedIn über den Bug. LinkedIn dann beschränkte vorübergehend auf den Knopf eine weiße Liste mit anderen vertrauenswürdigen Domänen.
Danke dafür, Angreifer konnten die Funktion über den Mechanismus nutzen oben beschrieben.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: