导语:近日,年仅18岁的安全研究人员Jack Cable发现LinkedIn中的“自动填充”功能漏洞,允许攻击者收集用户数据。

linkedin-2.jpg

近日,年仅18岁的安全研究人员Jack Cable发现LinkedIn中的“自动填充”功能漏洞,允许攻击者收集用户数据。

尽管安全专家和公众的视线仍然聚焦在Facebook泄密丑闻背后的Cambridge Analytica公司身上,但是近日,另一起引人担忧的泄露案件再次占据新闻头条。安全研究人员发现,私人情报机构LocalBlox将不安全的AWS存储桶公开暴露在网络上,其中包含从Facebook、LinkedIn和Twitter处收集的4800万条记录。

毫无疑问,数据收集已经成为一种司空见惯的做法,许多公司和情报机构都会出于各种不同的原因进行数据收集工作,很显然,我们发现的还只是冰山一角。

当然,除了出于主观意识的数据收集外,有时候,这种行为还会受到社交媒体平台功能实现漏洞的影响。

本月初,Facebook创始人马克·扎克伯格(Mark Zuckerberg)承认,英国数据分析公司Cambridge Analytica从2014年就开始收集Facebook用户的个人数据,据悉,这家公司最著名的工作就是曾协助美国总统特朗普的2016年总统竞选活动。而在此次Facebook“泄密门”事件中,该公司主要利用了Facebook搜索功能中的一个缺陷,该功能允许任何人通过他们的电子邮件地址或电话号码查找用户。

而如今,安全研究人员Jack Cable又在LinkedIn中发现了一个功能实现漏洞,据悉,这个漏洞的功能属于LinkedIn的“自动填充”功能,允许恶意行为者收集用户数据。该“自动填充”功能可以帮助用户快速填写LinkedIn个人资料中的数据,包括姓名、职位、公司、电子邮件地址、电话号码、所在城市、邮政编码以及所在州和国家等信息。

Cable解释称,恶意网站可以在页面中植入一个插件,只要用户登录LinkedIn时点击网页,就会触发隐藏的“根据LinkedIn信息自动填写”的按钮,最终导致用户数据泄露。以下是漏洞利用具体流程:

· 用户访问加载LinkedIn自动填充按钮插件的恶意网站;

· 该插件被设计为占据整个页面且对用户不可见;

· 当用户点击页面上的任何位置,LinkedIn都会将其理解为正在按下“自动填充”按钮,并通过postMessage将信息发送给恶意网站;

· 随后,该恶意网站通过以下代码收集用户的信息:

window.addEventListener("message", receiveMessage, false);

function receiveMessage(event)
{
  if (event.origin == 'https://www.linkedin.com') {
    let data = JSON.parse(event.data).data;
    if (data.email) {
      alert('Hi, ' + data.firstname + ' ' + data.lastname + '! Your email is ' + data.email + '. You work at ' + data.company + ' and you live in ' + data.city + ', ' + data.state + '.');
      console.log(data);
    }
  }
  console.log(event)
}

Cable指出,通过使用这一技巧,攻击者甚至可以滥用LinkedIn自动填充功能来访问非公开数据,尽管LinkedIn在其文档中声称只提供公开数据来填写表单。

据悉,Cable早在4月9日就已经发现了这一安全问题,并迅速将其提交给了LinkedIn。一开始,LinkedIn并没有将问题公之于众,而是选择在4月10日偷偷发布了补丁,将自动填充功能限制在公司白名单网站内。当然,这种方法根本无法真正解决该安全问题,因为只要这些网站存在漏洞,黑客一样有能力侵入白名单网站并继续从LinkedIn上收集数据。

直至4月19日,LinkedIn才最终发布了一个稳定的解决方案来应对该安全问题。LinkedIn回应称,没有证据表明,这一机制是用来搜集用户数据的。但是Cable回应称,其他公司完全有可能在领英不知情的情况下利用漏洞,因为领英服务器不会收到任何警报。

源链接

Hacking more

...