آسیب‌پذیری در قابلیت AutoFill لینکدین و افشای اطلاعات پروفایل کاربران

 

لینکدین اخیرا آسیب پذیری را وصله کرده است که نفوذگران با بهره برداری از آن می توانند از طریق وب سایت هایی، اطلاعات پروفایل کاربران، حتی اطلاعات شخصی آن ها را بدست آورند.


این آسیب پذیری قابلیت AutoFill را تحت تاثیر قرار داده بود. این ویژگی به کاربران اجازه می دهد با اطلاعاتی که در پروفایل آن ها وجود دارد، فرم ها را سریع تر پر کرده و به طور خودکار فیلدها را با این اطلاعات تکمیل کنند. کاربر می‌تواند در صفحه‌ای که فرم وجود دارد، این گزینه را انتخاب کرده و با اطلاعات پروفایل خود مانند نام، آدرس ایمیل، شرکت، شماره تلفن، کد پستی و کشور، این فرم را پر کند.


یک محقق امنیتی ۱۸ ساله از شیکاگو متوجه شد که با قرار دادن این قابلیت در یک وب‌سایت مخرب، مهاجم می‌تواند اطلاعات پروفایل کاربران را جمع‌آوری کند. به جای قرار دادن دکمه‌ای که لینکدین طراحی کرده، مهاجم می‌تواند ویژگی‌های آن را تغییر داده و آن را در جای جای وب‌سایت خود به حالت مخفی قرار دهد.


وقتی کاربری از این وب‌سایت مخرب بازدید و در جایی از وب‌سایت کلیک می‌کرد، در واقع بر روی دکمه‌ی AutoFill کلیک می‌کرد و مهاجم می‌توانست به اطلاعات پروفایل لینکدین بازدیدکننده دست یابد. این محقق اشاره کرده استفاده‌های این‌چنینی از این ویژگی، تمامی قوانین مربوط به AutoFill را نقض می‌کند. در وهله‌ی اول، این ویژگی اجازه نمی‌دهد داده‌ها در فرم، قبل از مشاهده شدن توسط کاربر، به سمت مقصد ارسال شوند.


ثانیا هرچند برخی از فیلدهایی که ارسال می‌شوند در پروفایل‌های لینکدین به‌طور عمومی نمایش داده می‌شوند ولی برخی از داده‌هایی که AutoFill استفاده می‌کند، اطلاعات خصوصی در پروفایل‌ها هستند. لینکدین در مستندات خود اعلام کرده فقط داده‌های عمومی در فرم‌ها مورد استفاده قرار می‌گیرد.


این محقق در تاریخ ۹ آوریل این آسیب‌پذیری را به لینکدین گزارش داد و را‌ه‌کار موقتی روز بعد ارائه شد. در این راه‌کار موقتی، ویژگی AutoFill تنها در برخی از وب‌سایت‌هایی که در فهرست سفید لینکدین قرار دارند، می‌تواند مورد استفاده قرار بگیرد. به نظر این محقق، این راه‌کار کامل نبود چرا که این وب‌سایت‌ها نیز ممکن است بر روی داده‌های کاربران کنترل داشته باشند و یا اینکه آلوده شده و از داده‌های کاربران سوءاستفاده شود.


در تاریخ ۱۹ آوریل، لینکدین راه‌کار قوی‌تری را ارائه کرد و قرار شد زمانی که با قابلیت AutoFill داده‌های کاربر در وب‌سایتی ارسال شد، به او اطلاع داده شود. لینکدین اعلام کرده تا کنون در دنیای واقعی، شواهدی مبنی بر بهره‌برداری از این آسیب‌پذیری مشاهده نشده است. هرچند این آسیب‌پذیری خیلی پیچیده نیست ولی بهره‌برداری از آن می‌تواند تبعات زیادی برای این شرکت و مشتریانش داشته باشد و شبیه به بهره‌برداری شرکت کمبریج آنالیتیکا از اطلاعات ۸۷ میلیون کاربر فیس‌بوک باشد. 

 

منبع

پست‌های مشابه

Leave a Comment