Una nueva
vulnerabilidad descubierta en la popular funcionalidad de 'Autocompletar' o
'Auto fill' que puede permitir el robo de datos por parte de terceros.
Esta funcionalidad
proporciona que otros sitios web puedan permitir que los usuarios de LinkedIn puedan
completar rápidamente los datos del perfil, incluyendo información sensible
como nombre completo, número de teléfono. dirección de correo electrónico,
código postal, empresa...etc en un solo clic.
Recientemente el
investigador de seguridad Jack Cable de 'Lightning Security' descubrió que
podía no ser así.
Descubrió que esta
funcionalidad estaba plagadas de vulnerabilidades que permitiría a cualquier
sitio web obtener los datos del perfil del usuario sin que el usuario se diera
cuenta.
Un atacante puede
hacer que la funcionalidad autocompletar en su sitio web cambiando algunas
propiedades como la de extender esta funcionalidad a través de todo el sitio
web para posteriormente hacerlo invisible, en el momento en el que el usuario
haga click en cualquier parte de la web desencadenaría la ejecución de esta
función y el envío de los datos albergados en la funcionalidad. Por pasos sería
de la siguiente manera:
1.
El
usuario visita el sitio web malicioso, que carga el 'iframe' del autocompletar
de LinkedIn.
2.
El
'iframe' ocupa toda la página web y es invisible al usuario.
3.
El
usuario hace clic en cualquier parte de la web.
4.
Los
datos son enviados un sitio web malicioso.
Esta vulnerabilidad
fue reportada e inmediatamente la compañía emitió una solución temporal a este
posible ataque. La corrección restringe el uso de la función autocompletar a
los sitios incluidos en la 'white list' o lista blanca.
El mismo investigador
ha subrayado que el parche está incompleto y que aún permitiría usar esta
características por los dominios incluidos en la lista blanca. Por lo tanto si
cualquiera de estos sitios se viera comprometido, podría hacerse uso de este
ataque.
Por parte de LinkedIn
ya han lanzado el parche completo, en un comunicado por parte de la entidad
aclaran lo sucedido:
"We immediately
prevented unauthorized use of this feature, once we were made aware of the
issue. We are now pushing another fix that will address potential additional
abuse cases, and it will be in place shortly," the company said in a
statement.
"While we've
seen no signs of abuse, we're constantly working to ensure our members' data
stays protected. We appreciate the researcher responsible reporting this, and
our security team will continue to stay in touch with them."
Más información:
- Twitter del investigador: https://twitter.com/jackhcable
- Web para la prueba de concepto: https://lightningsecurity.io/LinkedInDemo.html
Fuente: Hispasec