خطر سرقت اطلاعات کاربری با بروز نقص در پلاگین AutoFill لینکدین

هم رسان: نه تنها فیسبوک بلکه یک آسیب پذیری جدید که در قابلیت محبوب AutoFill لینکدین یافت شده است اطلاعات حساس کاربران خود را بدون اطلاع آنها در اختیار وب سایت های متفرقه قرار می دهد.

به گزارش پایگاه خبری هم رسان و به نقل از هکرنیوز، لینکدین مدت هاست یک پلاگین AutoFill ارائه کرده است که وب سایت های متفرقه می توانند از آن استفاده کنند تا کاربران لینکدین به سرعت اطلاعات پروفایل خود را از جمله نام کامل، شماره تلفن، آدرس ایمیل، کدپستی، محل کار و عنوان شغلی تنها با یک کلیک پر کنند.
به طور کلی، دکمه AutoFill تنها در وب سایت های موجو در لیست سفید لینکدین عمل می کند، اما جک کیبل محقق امنیتی 18 ساله از شرکت Lightning Security می گوید که این مسئله همیشه صادق نیست.
کیبل متوجه شده است که این قابلیت تحت تاثیر یک آسیب پذیری امنیتی ساده اما مهم قرار گرفته است که به طور بالقوه هر وب سایتی را قادر می سازد تا به طور مخفیانه اطلاعات پروفایل کاربران را جمع آوری کنند به طوریکه کاربران حتی از این قضیه مطلع نخواهند شد.
یک سایت معتبر و مجاز به احتمال زیاد دکمه AutoFill را نزدیک فیلد هایی قرار می دهد که این دکمه می تواند آنها را پر کند، اما طبق گفته های کیبل یک مهاجم می تواند به طور مخفیانه از قابلیت AutoFill در وب سایت خود استفاده کند و ویژگی های آن را تغییر دهد تا این دکمه در کل صفحه پخش شود و بعد آن را مخفی کند.
کیبل می گوید از آنجایی که دکمه AutoFill غیر قابل مشاهده است، بنابراین کلیک کردن کاربر در هر جایی از وبسایت قابلیت AutoFill را فعال می کند، و تمامی اطلاعات عمومی و همچنین خصوصی افراد را به وبسایت مخرب ارسال می کند.

در اینجا نحوه سوء استفاده مهاجمان از نقص امنیتی لینکدین وجود دارد:
کاربر از وب سایت مخرب بازدید می کند که آیفرم دکمه AutoFill لینکدین را بارگذاری کرده است.
این آیفرم طوری طراحی شده است که کل صفحه را می گیرد و برای کاربر غیرقابل مشاهده است.
در صورتی که کاربر در هر جایی از این وب سایت کلیک کند، لینکدین این کلیک را به عنوان کلیک بر روی دکمه AutoFill در نظر می گیرد و اطلاعات کاربر را از طریق postMessage براب سایت مخرب ارسال می کند.
کیبل این آسیب پذیری را در 9 آوریل شناسایی کرده و فورا لینکدین را از این حفره امنیتی مطلع کرد. روز بعد شرکت بدون اطلاع رسانی این موضوع به عموم مردم یک اصلاح موقت منتشر کرد.
این اصلاح تنها کاربرد قابلیت AutoFill لینکدین را محدود به وب سایت های موجود در لیست سفید می کرد که برای میزبانی آگهی های تبلیغاتی شان هزینه ای به لینکدین پرداخت می کردند، اما کیبل اعلام کرد که این بسته کامل نیست و هنوز هم می توان از آن سوء استفاده کرد، چرا که سایت های لیست سفید هنوز هم می توانستند به اطلاعات کاربران دسترسی داشته باشند.
علاوه بر این، در صورتی که این سایت ها به خطر بیافتند، مهاجمان می توانند قابلیت AutoFill را طوری دستکاری کنند که اطلاعات جمع آوری شده را به یک وب سایت مخرب دیگر ارسال کند.
کیبل برای نشان دادن این مشکل یک صفحه تست ایجاد کرد که نشان می دهد یک وب سایت چگونه می تواند اطلاعات کاربران از جمله نام افراد، آدرس ایمیل، محل کار و موقعیت را به دستآورد.
از آنجایی که یک بسته اصلاحی کامل برای این آسیب پذیری در تاریخ 19 آوریل توسط لینکدین منتشر شده است، ممکن است این صفحه دمو در حال حاضر عمل نکند.
اگر چه این آسیب پذیری یک مورد پیچیده و جدی به حساب نمی آید، اما با توجه به رسوایی اخیر Cambridge Analytica که در آن اطلاعات مربوط به 87 میلیون کاربر فیسبوک افشاء شد، حتی چنین حفره های امنیتی نیز می توانند نه تنها برای کاربران بلکه برای خود شرکت نیز یک تهدید جدی محسوب شوند.