LinkedInで重大なセキュリティバグが発見されました, より具体的にはソーシャルボタンで. バグの悪用により、LinkedInユーザーの情報が収集された可能性があります, 公開されていない情報を含む. 発見はジャックケーブルによって行われました, シカゴ出身の18歳のバグハンター.
LinkedInAutofillバグの詳細
どうやら, この脆弱性は、一部のパブリックジョブポータルに実装されている対応する「AutoFillwithLinkedIn」ボタンを強化するプラットフォームのAutoFill機能にありました。. LinkedInボタンは求人応募フォームに追加できます, クリックするとLinkedInにクエリを実行します. これが1つになると, ユーザーの情報が取得され、ジョブアプリフォームに埋め込まれます.
これらのボタンは便利ですが, それらは、ユーザー情報を収集するために任意のWebサイトで悪用される可能性があります. ボタンを非表示にして、ページ全体にオーバーレイすることができます, そしてどんなウェブサイトもそれらを密かに埋め込むことができます, 画面を覆うようにボタンのサイズを変更する. 一部のCSS設定を変更するだけで、ボタンが非表示になる可能性があります.
これが攻撃の実行方法です, なので 説明 若い研究者による:
1. ユーザーが悪意のあるサイトにアクセスする, LinkedInのオートフィルボタンiframeをロードします.
2. iframeは、ページ全体を占め、ユーザーには表示されないようにスタイル設定されています.
3. ユーザーがページの任意の場所をクリックします. LinkedInは、これをAutoFillボタンが押されていると解釈します, postMessageを介して悪意のあるサイトに情報を送信します.
4. このサイトは、特定のコードを介してユーザーの情報を収集します.
さらに, このようなページにアクセスしたユーザーは、ページをランダムにクリックして、無意識のうちにLinkedInの情報をWebサイトに送信した可能性があります。.
このバグの悪用は難しい作業ではなく、大量のデータ収集の目的で実際に利用された可能性があります. 幸いなことに, バグは修正されました, バグについてLinkedInに通知するケーブル付き. その後、LinkedInは、ボタンを他の信頼できるドメインのホワイトリストに一時的に制限しました.
これのおかげで, 攻撃者は、上記のメカニズムを介してこの機能を悪用することができませんでした.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: