Propust u LinkedInovom AutoFill pluginu omogućava drugim sajtovima da ukradu vaše podatke

Vesti, 23.04.2018, 09:30 AM

Propust u LinkedInovom AutoFill pluginu omogućava drugim sajtovima da ukradu vaše podatke

Bezbednosni istraživač, 18-ogodišnji Džek Kejbl otkrio je ranjivost u Linkedinovoj popularnoj funkciji AutoFill zbog koje osetljive informacije korisnika mogu da procure drugim web sajtovima, a da korisnik ne zna ništa o tome.

LinkedIn već dugo nudi plugin za automatsko popunjavanje koje drugi web sajtovi mogu koristiti kako bi korisnicima LinkedIna omogućili brzo popunjavanje podataka profila, uključujući njihovo puno ime, broj telefona, email adresu, poštanski broj, kompaniju i naziv radnog mesta sa samo jednim klikom.

Trebalo bi da automatsko popunjavanje funkcioniše samo na web sajtovima sa bele liste, ali Kejbl tvrdi da to nije slučaj.

Kejbl je otkrio da ova funkcija ima jednostavnu, ali značajnu ranjivost koja je omogućavala web sajtovima da krišom prikupljaju podatke sa profila korisnika, a da korisnik ne primeti šta se događa.

Legitimni web sajt verovatno bi postavio dugme za automatsko popunjavanje blizu polja koje dugme može da popuni, ali prema Kejblu, napadač bi tajno mogao koristiti funkciju automatskog popunjavanja na svom web sajtu promenom njegovih svojstava kako bi raširio dugme po celoj web stranici, a zatim ga učinio nevidljivim.

Pošto je dugme za automatsko popunjavanje nevidljivo, korisnici koji kliknu bilo gde na web sajtu pokrenuće automatsko popunjavanje, šaljući sve svoje kako javne tako i privatne podatke zlonamernom web sajtu.

Dakle, scenario napada bi bio ovakav: korisnik posećuje maliciozni web sajt, koji učitava iframe AutoFill dugmeta. iframe je dizajniran tako da uzima celu stranicu i nije vidljiv za korisnika. Korisnik zatim klikne bilo gde na toj stranici, a LinkedIn to tumači kao pritisnuto dugme za automatsko popunjavanje i šalje podatke korisnika zlonamernom sajtu.

Kejbl je otkrio ovu ranjivost 9. aprila i odmah o tome obavestio LinkedIn. Kompanija je narednog dana objavila privremenu ispravku ne obaveštavajući javnost o tome.

Ispravka je bila ograničena na korišćenje LinkedInove funkcije automatskog popunjavanja samo na web sajtovima sa bele liste, koji plaćaju LinkedInu za svoje reklame, ali je Kejbl tvrdio da je zakrpa nepotpuna i da je funkcija bila i dalje otvorena za zloupotrebu, jer su web sajtovi sa bele liste i dalje mogli da prikupljaju korisničke podatke.

Osim toga, ako bilo koji sajt sa bele liste LinkedIna bude kompromitovan, funkcija AutoFill bi mogla biti zloupotrebljena da bi poslala prikupljene podatke malicioznom sajtu.

Da bi pokazao u čemu je problem, Kejbl je napravio test stranicu kao dokaz, koja pokazuje kako web sajt može da preuzme vaše ime i prezime, email adresu, poslodavca i lokaciju.

Pošto je 19. aprila LinkedIn u potpunosti rešio ovaj problem, demo stranica možda neće raditi ako je isprobate.

"Mi smo odmah sprečili neovlašćenu upotrebu ove funkcije, kada smo upoznati sa ovim problemom. Sada ćemo da objavimo još jednu zakrpu koje će rešiti moguće dodatne slučajeve zloupotrebe, a to će biti uskoro", navodi se u saopštenju kompanije. "Iako ne vidimo nikakve znake zloupotrebe, stalno radimo na tome da obezbedimo zaštitu podataka naših članova", rekli su iz kompanije i zahvalili se istraživaču zato što je ovaj propust prijavio kompaniji.

Iako ranjivost nije uopšte sofisticirana ili kritična, s obzirom na skandal sa Cambridge Analyticom u kojem su bili otkriveni podaci više od 87 miliona korisnika Facebooka, takvi bezbednosni propusti mogu predstavljati ozbiljnu pretnju ne samo za korisnike, već i za samu kompaniju.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Google poremetio rad jednog od najvećih botneta sa oko dva miliona uređaja

Google poremetio rad jednog od najvećih botneta sa oko dva miliona uređaja

Google je saopštio da je značajno poremetio rad jednog od najvećih rezidencijalnih proksi botneta na svetu, poznatog pod nazivom NetNut, koji je pr... Dalje

Apple menja način objavljivanja bezbednosnih ažuriranja zbog AI pretnji

Apple menja način objavljivanja bezbednosnih ažuriranja zbog AI pretnji

Apple menja način objavljivanja bezbednosnih ažuriranja kako bi brže odgovorio na sajber pretnje koje ubrzava razvoj veštačke inteligencije. Komp... Dalje

Microsoft uklonio 119 Edge ekstenzija koje su potajno preuzimale malver

Microsoft uklonio 119 Edge ekstenzija koje su potajno preuzimale malver

Microsoft je uklonio 119 zlonamernih ekstenzija iz prodavnice dodataka za Edge nakon što je otkriveno da su bile deo velike kampanje nazvane StegoAd,... Dalje

ClickFix postao najčešći način isporuke malvera

ClickFix postao najčešći način isporuke malvera

Tehnika socijalnog inženjeringa ClickFix postala je najčešći način isporuke malvera, pokazuje analiza kompanije ReliaQuest koja je obuhvatila saj... Dalje

AI pregledači mogu da odaju vaše podatke ako ih napadač ubedi da igraju igru

AI pregledači mogu da odaju vaše podatke ako ih napadač ubedi da igraju igru

Istraživači kompanije LayerX predstavili su tehniku pod nazivom BioShocking, kojom su uspeli da prevare AI pregledače i asistente da otkriju korisn... Dalje