Propust u LinkedInovom AutoFill pluginu omogućava drugim sajtovima da ukradu vaše podatke

Vesti, 23.04.2018, 09:30 AM

Propust u LinkedInovom AutoFill pluginu omogućava drugim sajtovima da ukradu vaše podatke

Bezbednosni istraživač, 18-ogodišnji Džek Kejbl otkrio je ranjivost u Linkedinovoj popularnoj funkciji AutoFill zbog koje osetljive informacije korisnika mogu da procure drugim web sajtovima, a da korisnik ne zna ništa o tome.

LinkedIn već dugo nudi plugin za automatsko popunjavanje koje drugi web sajtovi mogu koristiti kako bi korisnicima LinkedIna omogućili brzo popunjavanje podataka profila, uključujući njihovo puno ime, broj telefona, email adresu, poštanski broj, kompaniju i naziv radnog mesta sa samo jednim klikom.

Trebalo bi da automatsko popunjavanje funkcioniše samo na web sajtovima sa bele liste, ali Kejbl tvrdi da to nije slučaj.

Kejbl je otkrio da ova funkcija ima jednostavnu, ali značajnu ranjivost koja je omogućavala web sajtovima da krišom prikupljaju podatke sa profila korisnika, a da korisnik ne primeti šta se događa.

Legitimni web sajt verovatno bi postavio dugme za automatsko popunjavanje blizu polja koje dugme može da popuni, ali prema Kejblu, napadač bi tajno mogao koristiti funkciju automatskog popunjavanja na svom web sajtu promenom njegovih svojstava kako bi raširio dugme po celoj web stranici, a zatim ga učinio nevidljivim.

Pošto je dugme za automatsko popunjavanje nevidljivo, korisnici koji kliknu bilo gde na web sajtu pokrenuće automatsko popunjavanje, šaljući sve svoje kako javne tako i privatne podatke zlonamernom web sajtu.

Dakle, scenario napada bi bio ovakav: korisnik posećuje maliciozni web sajt, koji učitava iframe AutoFill dugmeta. iframe je dizajniran tako da uzima celu stranicu i nije vidljiv za korisnika. Korisnik zatim klikne bilo gde na toj stranici, a LinkedIn to tumači kao pritisnuto dugme za automatsko popunjavanje i šalje podatke korisnika zlonamernom sajtu.

Kejbl je otkrio ovu ranjivost 9. aprila i odmah o tome obavestio LinkedIn. Kompanija je narednog dana objavila privremenu ispravku ne obaveštavajući javnost o tome.

Ispravka je bila ograničena na korišćenje LinkedInove funkcije automatskog popunjavanja samo na web sajtovima sa bele liste, koji plaćaju LinkedInu za svoje reklame, ali je Kejbl tvrdio da je zakrpa nepotpuna i da je funkcija bila i dalje otvorena za zloupotrebu, jer su web sajtovi sa bele liste i dalje mogli da prikupljaju korisničke podatke.

Osim toga, ako bilo koji sajt sa bele liste LinkedIna bude kompromitovan, funkcija AutoFill bi mogla biti zloupotrebljena da bi poslala prikupljene podatke malicioznom sajtu.

Da bi pokazao u čemu je problem, Kejbl je napravio test stranicu kao dokaz, koja pokazuje kako web sajt može da preuzme vaše ime i prezime, email adresu, poslodavca i lokaciju.

Pošto je 19. aprila LinkedIn u potpunosti rešio ovaj problem, demo stranica možda neće raditi ako je isprobate.

"Mi smo odmah sprečili neovlašćenu upotrebu ove funkcije, kada smo upoznati sa ovim problemom. Sada ćemo da objavimo još jednu zakrpu koje će rešiti moguće dodatne slučajeve zloupotrebe, a to će biti uskoro", navodi se u saopštenju kompanije. "Iako ne vidimo nikakve znake zloupotrebe, stalno radimo na tome da obezbedimo zaštitu podataka naših članova", rekli su iz kompanije i zahvalili se istraživaču zato što je ovaj propust prijavio kompaniji.

Iako ranjivost nije uopšte sofisticirana ili kritična, s obzirom na skandal sa Cambridge Analyticom u kojem su bili otkriveni podaci više od 87 miliona korisnika Facebooka, takvi bezbednosni propusti mogu predstavljati ozbiljnu pretnju ne samo za korisnike, već i za samu kompaniju.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Slack resetuje lozinke za naloge kompromitovane u napadu 2015. godine

Slack resetuje lozinke za naloge kompromitovane u napadu 2015. godine

Slack je na svom blogu objavio saopštenje u kome se kaže da su zbog novih informacija o incidentu koji se dogodio 2015. godine, prinuđeni da poniš... Dalje

Firefox će vas upozoravati kada otkrije da su vaše sačuvano korisničko ime i lozinka kompromitovani

Firefox će vas upozoravati kada otkrije da su vaše sačuvano korisničko ime i lozinka kompromitovani

Počev od Firefoxa 70, Mozilla želi da ima izveštaj pregledača kada bilo koja od vaših sačuvanih prijava bude pronađena među kompromitovanim pr... Dalje

Da li treba verovati aplikaciji FaceApp

Da li treba verovati aplikaciji FaceApp

Malo je verovatno da ovih dana niste videli fotografije bar nekih od svojih prijatelja koje su delo aplikacije FaceApp. Svi pričaju o ovoj aplikaciji... Dalje

Hakovana bugarska poreska agencija, procureli podaci 70% građana

Hakovana bugarska poreska agencija, procureli podaci 70% građana

Bugarska je pretrpela najveći gubitak podataka u svojoj istoriji, što je ugrozilo lične i finansijske podatke 5 miliona odraslih građana od ukupn... Dalje

Microsoftov softver proteran iz nemačkih škola zbog problema sa privatnošću korisnika

Microsoftov softver proteran iz nemačkih škola zbog problema sa privatnošću korisnika

Microsoft Office 365 više nije dozvoljen u školama u nemačkoj pokrajini Hesen, nakon što su lokalne vlasti odlučile da zabrane softver zbog niza ... Dalje