LinkedIn中的缺陷 AutoFill Plugin可让第三方网站窃取个人数据信息

2018-04-2215:14:31 发表评论

LinkedIn账户,黑客 不仅仅是Facebook,在LinkedIn的流行的自动填充功能中发现的一个新漏洞发现,用户的敏感信息泄漏到第三方网站,而用户甚至不知道它。

LinkedIn中的缺陷 AutoFill Plugin可让第三方网站窃取个人数据信息LinkedIn长时间提供一个自动填写插件,其他网站可以用来让LinkedIn用户快速填写个人资料数据,包括他们的全名,电话号码,电子邮件地址,邮政编码,公司和职位,只需点击一下即可。
一般来说,自动填充按钮只能在专门的“白名单网站”上工作,但闪电安全公司的18岁安全研究员Jack Cable表示,情况并非如此。
有线电视发现该功能受到一个简单而重要的安全漏洞的困扰,它可能使任何网站(刮板)偷偷收集用户配置文件数据,用户甚至不会意识到该事件。
一个合法的网站可能会在按钮可以填充的字段附近放置一个自动填充按钮,但根据Cable的说法,攻击者可以通过更改其属性在整个网页上传播按钮来暗中使用网站上的自动填充功能,然后使其无形。
由于自动填充按钮是不可见的,因此用户点击网站上的任何位置都会触发自动填充,最终将所有公开以及私人数据发送到恶意网站。
以下是攻击者如何利用LinkedIn缺陷:
用户访问加载LinkedIn自动填充按钮iframe的恶意网站。
iframe的设计方式是占用整个页面并且对用户不可见。
然后,用户点击该页面上的任意位置,LinkedIn会将其解释为正在按下自动填充按钮,并通过postMessage将用户数据发送到恶意网站。
Cable于4月9日发现该漏洞,并立即向LinkedIn披露。该公司在第二天发布了一个临时解决方案,但没有通知公众这个问题。
该解决方案仅限于使用LinkedIn的自动填充功能将只有LinkedIn支付其广告的网站列入白名单,但Cable认为该补丁不完整,并且仍然可能会滥用功能,因为白名单网站仍可能收集用户数据。
除此之外,如果LinkedIn上白名单的网站遭到入侵,自动填充功能可能会被滥用,将收集的数据发送给恶意的第三方。
为了演示这个问题,Cable还构建了概念验证测试页面,该页面显示了网站如何抓住您的姓名,电子邮件地址,雇主和地点。
由于LinkedIn于4月19日针对此漏洞进行了全面修复,因此上述演示页面可能无法为您工作。
该公司在一份声明中表示:“一旦我们意识到这个问题,我们立即阻止未经授权使用这项功能,现在我们正在推行另一项解决方案,以解决潜在的其他滥用案例,并且很快就会实施。”
“虽然我们没有看到任何滥用迹象,但我们一直在努力确保我们会员的数据得到保护,我们非常感谢研究人员负责报告此事,我们的安全团队将继续与他们保持联系。”
鉴于最近发生的剑桥Analytica丑闻,其中有超过8,700万Facebook用户的数据暴露出来,但这种安全漏洞可能不仅对客户构成严重威胁,而且对公司本身也构成严重威胁。

CE安全网

发表评论

您必须登录才能发表评论!