Propust u LinkedInovom AutoFill pluginu omogućava drugim sajtovima da ukradu vaše podatke

Vesti, 23.04.2018, 09:30 AM

Propust u LinkedInovom AutoFill pluginu omogućava drugim sajtovima da ukradu vaše podatke

Bezbednosni istraživač, 18-ogodišnji Džek Kejbl otkrio je ranjivost u Linkedinovoj popularnoj funkciji AutoFill zbog koje osetljive informacije korisnika mogu da procure drugim web sajtovima, a da korisnik ne zna ništa o tome.

LinkedIn već dugo nudi plugin za automatsko popunjavanje koje drugi web sajtovi mogu koristiti kako bi korisnicima LinkedIna omogućili brzo popunjavanje podataka profila, uključujući njihovo puno ime, broj telefona, email adresu, poštanski broj, kompaniju i naziv radnog mesta sa samo jednim klikom.

Trebalo bi da automatsko popunjavanje funkcioniše samo na web sajtovima sa bele liste, ali Kejbl tvrdi da to nije slučaj.

Kejbl je otkrio da ova funkcija ima jednostavnu, ali značajnu ranjivost koja je omogućavala web sajtovima da krišom prikupljaju podatke sa profila korisnika, a da korisnik ne primeti šta se događa.

Legitimni web sajt verovatno bi postavio dugme za automatsko popunjavanje blizu polja koje dugme može da popuni, ali prema Kejblu, napadač bi tajno mogao koristiti funkciju automatskog popunjavanja na svom web sajtu promenom njegovih svojstava kako bi raširio dugme po celoj web stranici, a zatim ga učinio nevidljivim.

Pošto je dugme za automatsko popunjavanje nevidljivo, korisnici koji kliknu bilo gde na web sajtu pokrenuće automatsko popunjavanje, šaljući sve svoje kako javne tako i privatne podatke zlonamernom web sajtu.

Dakle, scenario napada bi bio ovakav: korisnik posećuje maliciozni web sajt, koji učitava iframe AutoFill dugmeta. iframe je dizajniran tako da uzima celu stranicu i nije vidljiv za korisnika. Korisnik zatim klikne bilo gde na toj stranici, a LinkedIn to tumači kao pritisnuto dugme za automatsko popunjavanje i šalje podatke korisnika zlonamernom sajtu.

Kejbl je otkrio ovu ranjivost 9. aprila i odmah o tome obavestio LinkedIn. Kompanija je narednog dana objavila privremenu ispravku ne obaveštavajući javnost o tome.

Ispravka je bila ograničena na korišćenje LinkedInove funkcije automatskog popunjavanja samo na web sajtovima sa bele liste, koji plaćaju LinkedInu za svoje reklame, ali je Kejbl tvrdio da je zakrpa nepotpuna i da je funkcija bila i dalje otvorena za zloupotrebu, jer su web sajtovi sa bele liste i dalje mogli da prikupljaju korisničke podatke.

Osim toga, ako bilo koji sajt sa bele liste LinkedIna bude kompromitovan, funkcija AutoFill bi mogla biti zloupotrebljena da bi poslala prikupljene podatke malicioznom sajtu.

Da bi pokazao u čemu je problem, Kejbl je napravio test stranicu kao dokaz, koja pokazuje kako web sajt može da preuzme vaše ime i prezime, email adresu, poslodavca i lokaciju.

Pošto je 19. aprila LinkedIn u potpunosti rešio ovaj problem, demo stranica možda neće raditi ako je isprobate.

"Mi smo odmah sprečili neovlašćenu upotrebu ove funkcije, kada smo upoznati sa ovim problemom. Sada ćemo da objavimo još jednu zakrpu koje će rešiti moguće dodatne slučajeve zloupotrebe, a to će biti uskoro", navodi se u saopštenju kompanije. "Iako ne vidimo nikakve znake zloupotrebe, stalno radimo na tome da obezbedimo zaštitu podataka naših članova", rekli su iz kompanije i zahvalili se istraživaču zato što je ovaj propust prijavio kompaniji.

Iako ranjivost nije uopšte sofisticirana ili kritična, s obzirom na skandal sa Cambridge Analyticom u kojem su bili otkriveni podaci više od 87 miliona korisnika Facebooka, takvi bezbednosni propusti mogu predstavljati ozbiljnu pretnju ne samo za korisnike, već i za samu kompaniju.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi problemi za Huawei: Posle Googlea, i Intel, Qualcomm i Broadcom prekidaju saradnju sa kineskom kompanijom

Novi problemi za Huawei: Posle Googlea, i Intel, Qualcomm i Broadcom prekidaju saradnju sa kineskom kompanijom

Huaweijevi najveći dobavljači obustavljaju saradnju sa kineskim tehnološkim gigantom pošto je Trampova administracija prošle nedelje uvela nova ... Dalje

Državne institucije u Južnoj Koreji sa Windowsa 7 prelaze na Linux

Državne institucije u Južnoj Koreji sa Windowsa 7 prelaze na Linux

Pošto se podrška za Windows 7 ukida u januaru 2020. godine, u Microsoftu očekuju se da će sve više kompanija i državnih institucija iz celog sv... Dalje

TeamViewer je hakovan 2016. godine, kompanija prećutala incident?

TeamViewer je hakovan 2016. godine, kompanija prećutala incident?

Nemačka kompanija koja stoji iza TeamViewera, planetarno popularnog softvera koji korisnicima omogućava daljinski pristup računarima, navodno je ha... Dalje

Windows XP po drugi put dobija zakrpu posle ukidanja podrške zbog opasnog baga

Windows XP po drugi put dobija zakrpu posle ukidanja podrške zbog opasnog baga

Microsoft je objavio hitnu ispravku za RCE (Remote Code Execution) ranjivost u Remote Desktop Services u starijim verzijama Windowsa. Iz Microsofta ka... Dalje

San Francisko je prvi grad u SAD u kome je zabranjena tehnologija prepoznavanja lica

San Francisko je prvi grad u SAD u kome je zabranjena tehnologija prepoznavanja lica

San Francisko je prvi grad u Sjedinjenim Državama u kome je izričito zabranjena upotreba tehnologije prepoznavanja lica. Ljudi su se susreli sa ovom... Dalje