O investigador Jack Cable descobriu uma vulnerabilidade no LinkedIn, respeitante à funcionalidade de AutoFill e que permitia a recolha de dados do utilizador de forma devastadora.

Enquanto especialistas e pessoas ainda discutem o caso da Cambridge Analytica, outro caso desconcertante fez manchete — a agência de inteligência privada LocalBlox deixou um campo não protegido da AWS contendo 48 milhões de registos que também foram recolhidos do Facebook, LinkedIn e Twitter.

A recolha de dados é uma prática comum, e nestes dias, apenas estamos a descobrir a ponta do iceberg. Muitas agências que processam dados fazem-no por diferentes razões. E esta atividade, é muitas vezes favorecida por falhas de segurança em aplicações, plataformas, e sobre tudo, falhas em software.

Agora é a vez do LinkedIn. O investigador Jack Cable descobriu uma falha no LinkedIn, a funcionalidade de preenchimento automático (AutoFill), que permitia recolher dados dos utilizadores p.ex., em websites de terceiros.

A funcionalidade AutoFill permite preencher rapidamente formulários com dados do perfil do LinkedIn, incluindo nome, cargo, empresa, endereço de e-mail, número de telefone, cidade, código postal, estado e país.

Cable explicou que é possível explorar a função colocando o botão AutoFill, p.ex.,num site malicioso e divulgar a informação em websites terceiros.

Com esta falha, que viola claramente as políticas de privacidade do LinkedIn, quando um utilizador visita o site mal-intencionado e clica em qualquer componente da página, seja ele um botão, imagem, etc., botão AutoFill invisível é ativado, e que depois resulta na obtenção de dados do utilizador do LinkedIn.

“The potential for exploitation existed until being patched 04/19/18, as any whitelisted website can access this information with a single click.” wrote Cable.

“The exploit flowed as follows:

    1. The user visits the malicious site, which loads the LinkedIn AutoFill button iframe.
    2. The iframe is styled so it takes up the entire page and is invisible to the user.
    3. The user clicks anywhere on the page. LinkedIn interprets this as the AutoFill button being pressed and sends the information via PostMessage to the malicious site.
    4. he site harvests the user’s information via the following code:
Window.addEventListener("message", receiveMessage, false);

function receiveMessage(event)
{
  if (event.origin == 'https://www.linkedin.com') {
    let data = JSON.parse(event.data).data;
    if (data.email) {
      alert('Hi, ' + data.firstname + ' ' + data.lastname + '! Your email is ' + data.email + '. You work at ' + data.company + ' and you live in ' + data.city + ', ' + data.state + '.');
      console.log(data);
    }
  }
  console.log(event)
}

 

Cable diz ainda que, com esta falha é possível aceder a dados não públicos. No entanto, o LinkedIn afirma na sua documentação que apenas os dados públicos são fornecidos para preencher formulários.

Cable comunicou a falha ao LinkedIn no dia 9 de abril e a empresa restringiu temporariamente a funcionalidade de AutoFill para websites terceiros na lista de permissões. É claro que o problema não foi totalmente resolvido dessa maneira. Um atacante que conseguisse aceder a websites da white-list estava novamente em posição de recolher dados do LinkedIn.

No dia19 de abril, o LinkedIn publicou uma correção estável para o problema.


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *