Een kritische security bug is ontdekt in LinkedIn, meer in het bijzonder in een sociale knop. Het benutten van de bug zou kunnen hebben geleid tot het oogsten van informatie LinkedIn gebruikers, met inbegrip van informatie die niet openbaar was. De ontdekking werd gedaan door Jack Cable, een 18-jarige bug jager uit Chicago.
Meer over de LinkedIn Autofill Bug
Blijkbaar, de kwetsbaarheid woonde in het platform AutoFill functie die de bevoegdheden van de overeenkomstige “Automatisch aanvullen met LinkedIn” knoppen die worden uitgevoerd op sommige openbare baan portals. De knop LinkedIn kan worden toegevoegd op sollicitatieformulieren, en bij het klikken maakt een query naar LinkedIn. Zodra dit is één, informatie van de gebruiker wordt opgehaald en ingesloten op het werk app vorm.
Hoewel deze toetsen handig, ze kunnen worden uitgebuit door een website naar gebruiker oogstinformatie. De knoppen kunnen worden verborgen en bedekt op een hele pagina, en een website kon ze stiekem insluiten, het wijzigen van de grootte van de knop om het scherm te dekken. De knop kan onzichtbaar worden door simpelweg een aantal CSS-instellingen te wijzigen.
Dit is hoe een aanval wordt uitgevoerd, als toegelicht door de jonge onderzoeker:
1. De gebruiker bezoekt de kwaadaardige site, die laadt de LinkedIn knop Automatisch aanvullen iframe.
2. De iframe is ingericht dus het duurt de hele pagina en is onzichtbaar voor de gebruiker.
3. De gebruiker klikt ergens op de pagina. LinkedIn interpreteert dit als de AutoFill knop wordt ingedrukt, en stuurt de informatie via postMessage naar de kwaadaardige site.
4. De site oogst gegevens van de gebruiker via een specifieke code.
Bovendien, elke gebruiker die is geland op een dergelijke pagina kan onbewust LinkedIn informatie hebben ingediend bij de website door willekeurig te klikken op de pagina.
Het benutten van deze bug is niet een moeilijke taak en had kunnen worden ingezet in het wild voor massale data harvesting doeleinden. Gelukkig, de bug is opgelost, met kabel kennisgeving LinkedIn over de bug. LinkedIn dan tijdelijk beperkt de knop om een whitelist met andere vertrouwde domeinen.
Dankzij deze, aanvallers waren niet in staat om de functie via het hierboven beschreven mechanisme te benutten.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: