رفتن به محتوای اصلی
دوشنبه ۲ مهر ۱۳۹۷
.

دسته بندی اخبار

دسته بندی عمومی

آسیب‌پذیری امنیتی لینکدین

آسیب‌پذیری امنیتی لینکدین

یک آسیب‌پذیری جدید در قابلیت تکمیل خودکار محبوب Linkedin کشف شده است که اطلاعات حساس کاربران خود را به وب‌سایت‌های شخص ثالث ارسال می‌کند بدون اینکه کاربران حتی در مورد آن اطلاعاتی داشته باشند.

LinkedIn  یک افزونه‌ی تکمیل خودکار ایجاد کرده است که دیگر وب‌سایت‌ها می‌توانند از آن استفاده کنند تا به کاربران LinkedIn اجازه دهند سریعاً داده‌های پروفایل خود که شامل نام کامل، شماره‌تلفن، آدرس پست الکترونیک، کد پستی، شرکت و عنوان شغلی خود است را پر کنند.به‌طورکلی، گزینه تکمیل خودکار فقط به‌طور خاص در وب‌سایت‌هایی که در لیست سفید قرار دارند کار می‌کند، از Lightning Security اعلام کرده است که این تنها مورد نیست.

 

یک محقق امنیتی ۱۸ ساله به نام Jack  Cable کشف کرد که این ویژگی با یک آسیب‌پذیری امنیتی ساده اما مهم ادغام شده است که به‌طور بالقوه هر وب‌سایت را قادر می‌کند که مخفیانه اطلاعات پروفایل کاربر را برداشت کند به‌طوری‌که کاربر حتی متوجه این رویداد نشود.

 

یک وب‌سایت قانونی اصولاً یک گزینه تکمیل خودکار را در کنار فیلدهایی که فرد می‌تواند آن‌ها را پر کند، قرار داده است. اما با توجه به گفته Cable، یک مهاجم می‌تواند مخفیانه از ویژگی تکمیل خودکار در وب‌سایت خود با تغییر خواص آن برای گسترش این گزینه در کل صفحه وب و به‌طور مخفی استفاده کند.

 

Cable  دراینباره اینگونه توضیح می‌دهد: ازآنجایی‌که گزینه تکمیل خودکار مخفی است، کاربران با کلیک کردن در هر نقطه از وب‌سایت، گزینه تکمیل خودکار را فعال می‌کنند که درنهایت همه اطلاعات عمومی و همچنین اطلاعات شخصی شما که در وب‌سایت موردنظر از شما خواسته شده است، برای وب‌سایت مخرب ارسال می‌شود.

در اینجا روشی که مهاجمان می‌توانند از نقص LinkedIn بهره‌برداری کنند، آورده شده است:

 کاربر از وب‌سایت مخربی بازدید می‌کند، که iFrame گزینه تکمیل خودکار LinkedIn را بارگذاری می‌کند.

iframe  به‌گونه‌ای طراحی شده است که کل صفحه را پوشش می‌دهد و برای کاربر نامرئی است.

سپس کاربر در هر نقطه از آن صفحه کلیک می‌کند و LinkedIn این را به‌عنوان گزینه تکمیل خودکار در نظر می‌گیرد و داده‌های کاربران را از طریق postMessage به سایت مخرب ارسال می‌کند.

Cable  این آسیب‌پذیری را در تاریخ ۹ آوریل ۲۰۱۸ کشف و بلافاصله به LinkedIn گزارش کرد. این شرکت در روز بعدازاین گزارش، یک به‌روزرسانی موقت را بدون اطلاع‌رسانی به عموم در مورد این موضوع منتشر کرد.

این اصلاح فقط استفاده از ویژگی تکمیل خودکار LinkedIn را محدود به وب‌سایت‌های لیست سفیدی کرد که به LinkedIn برای میزبانی از تبلیغاتشان پول می‌دهند، اما Cable استدلال کرد که این وصله ناقص بوده و همچنان این ویژگی برای سوء‌استفاده قابل‌دسترسی است چراکه وب‌سایت‌های لیست سفید همچنان می‌توانند داده‌های کاربران را جمع‌آوری کنند.

علاوه بر این، اگر هر یک از سایت‌هایی که توسط LinkedIn لیست شده به خطر بیفتد، ویژگی تکمیل خودکار می‌تواند مورد سوءاستفاده قرار گیرد تا اطلاعات جمع‌آوری‌شده را به وب‌سایت شخص ثالث مخرب ارسال کند.

برای ثابت کردن این مسئله، Cable یک صفحه آزمایشی ساخت که نشان می‌دهد چگونه یک وب‌سایت می‌تواند نام و نام خانوادگی، آدرس پست الکترونیک، کارفرما و مکان شما را به دست آورد.

این شرکت در بیانیه‌ای اعلام کرد: “ما هنگامی‌که از این مسئله مطلع شدیم، بلافاصله از استفاده غیرمجاز از این ویژگی جلوگیری کردیم. ما اکنون در حال انجام اصلاحات دیگری در ارتباط با موارد اضطراری دیگر هستیم که در فاصله کوتاهی منتشر خواهند شد.”

“درحالی‌که ما هیچ نشانه‌ای از سوءاستفاده ندیده‌ایم، اما به‌طور مداوم در تلاشیم تا اطمینان حاصل کنیم که از اطلاعات شخصی اعضای ما محافظت می‌شود. ما از محققِ مسئولِ این گزارش قدردانی می‌کنیم و تیم امنیتی ما همچنان در ارتباط با او باقی خواهد ماند.”

۴۹