Facebook fue la punta del iceberg, ahora Linkedin

Luis V. Sintes Martinez Analista de Seguridad - Vintegris

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

No solo fue Facebook, una nueva vulnerabilidad descubierta en la popular funcionalidad de Autocompletar de Linkedin encontró la filtración de la información confidencial de sus usuarios a sitios web de terceros sin que sus usuarios siquiera lo supieran.

LinkedIn proporciona un complemento de autocompletar durante mucho tiempo que otros sitios web pueden usar para permitir que los usuarios de LinkedIn completen rápidamente los datos de perfil, incluidos su nombre completo, número de teléfono, dirección de correo electrónico, código postal, empresa y título de trabajo, con un solo clic.

En general, el botón autocompletar solo funciona específicamente en “sitios web incluidos en la lista blanca”, pero el investigador de seguridad de 18 años Jack Cable dijo que no era el único.

Cable descubrió que la función estaba plagada de una vulnerabilidad de seguridad simple pero importante que potencialmente permitía que cualquier sitio web (raspadores) cosechara en secreto los datos del perfil del usuario y el usuario ni siquiera se daría cuenta del evento.

Un sitio web legítimo probablemente colocaría un botón autocompletar cerca de los campos que el botón puede llenar, pero según Cable, un atacante podría usar secretamente la función autocompletar en su sitio web cambiando sus propiedades para extender el botón a través de toda la página web y luego hacerlo invisible.

Dado que el botón autocompletar es invisible, los usuarios que hagan clic en cualquier parte del sitio web desencadenarán autocompletar, y finalmente enviarán todos sus datos públicos y privados solicitados al sitio web malicioso, explicó Cable en diferentes reportes.

Así es como los atacantes pueden explotar la falla de LinkedIn:

El usuario visita el sitio web malicioso, que carga el iframe del botón autorrelleno de LinkedIn.

El iframe está diseñado de manera que ocupa toda la página y es invisible para el usuario.

Luego, el usuario hace clic en cualquier parte de esa página, y LinkedIn lo interpreta como el botón autocompletar que se está presionando y envía los datos de los usuarios a través de postMessage al sitio malicioso.

 

Por Luis V. Sintes Martinez Analista de Seguridad – Vintegris