Propust u LinkedInovom AutoFill pluginu omogućava drugim sajtovima da ukradu vaše podatke

Vesti, 23.04.2018, 09:30 AM

Bezbednosni istraživač, 18-ogodišnji Džek Kejbl otkrio je ranjivost u Linkedinovoj popularnoj funkciji AutoFill zbog koje osetljive informacije korisnika mogu da procure drugim web sajtovima, a da korisnik ne zna ništa o tome.

LinkedIn već dugo nudi plugin za automatsko popunjavanje koje drugi web sajtovi mogu koristiti kako bi korisnicima LinkedIna omogućili brzo popunjavanje podataka profila, uključujući njihovo puno ime, broj telefona, email adresu, poštanski broj, kompaniju i naziv radnog mesta sa samo jednim klikom.

Trebalo bi da automatsko popunjavanje funkcioniše samo na web sajtovima sa bele liste, ali Kejbl tvrdi da to nije slučaj.

Kejbl je otkrio da ova funkcija ima jednostavnu, ali značajnu ranjivost koja je omogućavala web sajtovima da krišom prikupljaju podatke sa profila korisnika, a da korisnik ne primeti šta se događa.

Legitimni web sajt verovatno bi postavio dugme za automatsko popunjavanje blizu polja koje dugme može da popuni, ali prema Kejblu, napadač bi tajno mogao koristiti funkciju automatskog popunjavanja na svom web sajtu promenom njegovih svojstava kako bi raširio dugme po celoj web stranici, a zatim ga učinio nevidljivim.

Pošto je dugme za automatsko popunjavanje nevidljivo, korisnici koji kliknu bilo gde na web sajtu pokrenuće automatsko popunjavanje, šaljući sve svoje kako javne tako i privatne podatke zlonamernom web sajtu.

Dakle, scenario napada bi bio ovakav: korisnik posećuje maliciozni web sajt, koji učitava iframe AutoFill dugmeta. iframe je dizajniran tako da uzima celu stranicu i nije vidljiv za korisnika. Korisnik zatim klikne bilo gde na toj stranici, a LinkedIn to tumači kao pritisnuto dugme za automatsko popunjavanje i šalje podatke korisnika zlonamernom sajtu.

Kejbl je otkrio ovu ranjivost 9. aprila i odmah o tome obavestio LinkedIn. Kompanija je narednog dana objavila privremenu ispravku ne obaveštavajući javnost o tome.

Ispravka je bila ograničena na korišćenje LinkedInove funkcije automatskog popunjavanja samo na web sajtovima sa bele liste, koji plaćaju LinkedInu za svoje reklame, ali je Kejbl tvrdio da je zakrpa nepotpuna i da je funkcija bila i dalje otvorena za zloupotrebu, jer su web sajtovi sa bele liste i dalje mogli da prikupljaju korisničke podatke.

Osim toga, ako bilo koji sajt sa bele liste LinkedIna bude kompromitovan, funkcija AutoFill bi mogla biti zloupotrebljena da bi poslala prikupljene podatke malicioznom sajtu.

Da bi pokazao u čemu je problem, Kejbl je napravio test stranicu kao dokaz, koja pokazuje kako web sajt može da preuzme vaše ime i prezime, email adresu, poslodavca i lokaciju.

Pošto je 19. aprila LinkedIn u potpunosti rešio ovaj problem, demo stranica možda neće raditi ako je isprobate.

"Mi smo odmah sprečili neovlašćenu upotrebu ove funkcije, kada smo upoznati sa ovim problemom. Sada ćemo da objavimo još jednu zakrpu koje će rešiti moguće dodatne slučajeve zloupotrebe, a to će biti uskoro", navodi se u saopštenju kompanije. "Iako ne vidimo nikakve znake zloupotrebe, stalno radimo na tome da obezbedimo zaštitu podataka naših članova", rekli su iz kompanije i zahvalili se istraživaču zato što je ovaj propust prijavio kompaniji.

Iako ranjivost nije uopšte sofisticirana ili kritična, s obzirom na skandal sa Cambridge Analyticom u kojem su bili otkriveni podaci više od 87 miliona korisnika Facebooka, takvi bezbednosni propusti mogu predstavljati ozbiljnu pretnju ne samo za korisnike, već i za samu kompaniju.