Une faille dans LinkedIn Plugin AutoFill permet aux sites tiers de voler vos données

Non seulement Facebook , une nouvelle vulnérabilité découverte dans la populaire fonctionnalité AutoFill de Linkedin, a trouvé des informations sensibles de ses utilisateurs sur des sites Web tiers sans que l’utilisateur ne s’en rende compte.

LinkedIn fournit un plugin AutoFill depuis longtemps que d’autres sites peuvent utiliser pour permettre aux utilisateurs de LinkedIn de remplir rapidement les données de profil, y compris leur nom complet, numéro de téléphone, adresse e-mail, code postal, entreprise et titre de poste.
En règle générale, le bouton de saisie automatique ne fonctionne que sur les « sites Web en liste blanche », mais Jack Cable, de Lightning Security, chercheur en sécurité âgé de 18 ans, a déclaré que ce n’était pas le cas.
Cable a découvert que la fonctionnalité était en proie à une faille de sécurité simple mais importante qui permettait potentiellement à tout site Web (scraper) de récolter secrètement des données de profil utilisateur et l’utilisateur ne réalisait même pas l’événement.
Un site Web légitime placerait probablement un bouton de saisie automatique près des champs que le bouton peut remplir, mais selon Cable, un attaquant pourrait secrètement utiliser la fonction AutoFill sur son site Web en changeant ses propriétés pour diffuser le bouton sur toute la page Web, puis le rendre invisible.
Étant donné que le bouton de remplissage automatique est invisible, les utilisateurs qui cliquent n’importe où sur le site Web déclenchent le remplissage automatique, envoyant finalement toutes leurs données publiques et privées demandées au site Web malveillant, explique Cable.
Voici comment les attaquants peuvent exploiter la faille LinkedIn :

  • L’utilisateur visite le site Web malveillant, qui charge le iframe du bouton LinkedIn AutoFill.
  • L’iframe est stylisé de manière à occuper toute la page et est invisible pour l’utilisateur.
  • L’utilisateur clique alors n’importe où sur cette page, et LinkedIn l’interprète lorsque le bouton AutoFill est enfoncé et envoie les données des utilisateurs via postMessage au site malveillant.

Cable a découvert la vulnérabilité le 9 avril et l’a immédiatement dévoilée à LinkedIn. La société a publié une solution temporaire le lendemain sans informer le public de la question.

Le correctif limitait uniquement l’utilisation de la fonctionnalité AutoFill de LinkedIn aux sites Web en liste blanche qui payaient LinkedIn pour héberger leurs publicités, mais Cable affirmait que le correctif était incomplet et laissait la fonctionnalité ouverte aux abus car les sites en liste blanche pouvaient encore collecter des données utilisateur.
En outre, si l’un des sites inclus dans LinkedIn est compromis, la fonction de saisie automatique pourrait être utilisée abusivement pour envoyer les données collectées à des tiers malveillants.
Pour illustrer le problème, Cable a également créé une page de test de validation de principe , qui montre comment un site Web peut saisir votre prénom et votre nom de famille, votre adresse e-mail, votre employeur et votre lieu de résidence.
Étant donné qu’une solution complète à cette vulnérabilité a été déployée par LinkedIn le 19 avril, la page de démonstration ci-dessus pourrait ne pas fonctionner pour vous maintenant.
"Nous avons immédiatement empêché l’utilisation non autorisée de cette fonctionnalité, une fois que nous avons été mis au courant du problème.Nous poussons maintenant une autre solution qui permettra de traiter d’éventuels cas d’abus supplémentaires, et il sera en place sous peu".
"Bien que nous n’ayons vu aucun signe d’abus, nous travaillons constamment pour assurer la protection des données de nos membres, nous apprécions le fait que le chercheur responsable signale cela, et notre équipe de sécurité continuera à rester en contact avec eux."
Bien que la vulnérabilité ne soit pas du tout sophistiquée ou critique, étant donné le récent scandale Cambridge Analytica où plus de 87 millions d’utilisateurs de Facebook ont été exposés, de telles failles de sécurité peuvent constituer une menace sérieuse non seulement pour les clients mais aussi pour l’entreprise.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 31 |

Actu en image