Phát hiện lỗ hổng bảo mật trên plugin LinkedIn cho phép các trang web bên thứ ba đánh cắp dữ liệu người dùng

www.tuoitre.vn -   24/04/2018 10:00:00 2724

Mới đây các chuyên gia bảo mật vừa phát hiện một lỗ hổng mới trên chức năng AutoFill vốn phổ biến của LinkedIn, rò rỉ thông tin nhạy cảm của người dùng đến nhiều trang web bên thứ ba mà không có sự cho phép của họ.

Phát hiện lỗ hổng bảo mật trên plugin LinkedIn cho phép các trang web bên thứ ba đánh cắp dữ liệu người dùng

LinkedIn đã cung cấp một plugin hỗ trợ AutoFill trong một thời gian dài giúp hỗ trợ người dùng LinkedIn điền nhanh vào các trang web khác dữ liệu hồ sơ của họ bao gồm họ tên đầy đủ, số điện thoại, địa chỉ email, mã ZIP, công ty và chức danh công việc…

Nhìn chung, nút AutoFill chỉ hoạt động trong một danh sách website được cho phép cụ thể, nhưng theo nhà nghiên cứu bảo mật Jack Cable of Lighting Security thì đây không phải là một vấn đề. Anh đã phát hiện ra rằng tính năng này bị cản trở bởi một lỗ hổng bảo mật đơn giản nhưng nghiêm trọng, cho phép bất kỳ trang web nào ngầm thu thập dữ liệu người dùng và thậm chí nạn nhân còn không nhận ra điều gì bất thường khi họ lướt web.

Một trang web hợp pháp có thể đặt nút tự động điền AutoFill của LinkedIn gần các trường khoản trống mà nút này có thể điền nội dung, nhưng theo Cable thì kẻ tấn công có thể sử dụng tính năng này một cách bí mật bằng cách thay đổi các thuộc tính của nó để lan rộng nút này trên toàn bộ trang web và sau đó là làm chúng trở nên vô hình. Khi chúng được vô hình, người dùng nhấp vào điểm bất kỳ trên trang web đều có thể kích hoạt tính năng Tự động điền AutoFill và gửi tất cả các dữ liệu lẫn công khai và riêng tư của họ đến một trang web độc hại.

Đây là cách mà hacker khai thác lỗ hổng bảo mật này :

Khi người dùng vô tình truy cập vào một trang web độc hại có chứa khung các nút Tự động điền AutoFill của LinkedIn.

Khung này được tạo theo kiểu tràn toàn bộ trang và ẩn với người dùng.

Người dụng sau đó nhấp vào bất kỳ nơi nào trên trang web này thì LinkedIn sẽ tự động điền dữ liệu vào như lúc người dùng nhấp nút Tự động điền, qua đó gửi tất cả dữ liệu của người dùng qua postMessage đến trang web độc hại.

Cable đã phát hiện ra lỗ hổng này vào ngày 9/4 và ngay lập tức thông báo cho LinkedIn. Công ty này cũng đã phát hành một bản sửa chữa tạm thời vào ngày hôm sau mà không hề công bố cho người dùng biết về vấn đề này.

Được biết bản sửa lỗi chỉ giới hạn việc sử dụng tính năng tự động điền AutoFill của LinkedIn cho các trang web có trong danh sách an toàn mà chỉ trả tiền cho LinkedIn trong việc lưu trữ các quảng cáo của họ. Thế nhưng nhà nghiên cứu bảo mật cho rằng bản vá này chưa đầy đủ và vẫn có thể để tính năng bị lạm dụng nếu như các trang web nằm trong danh sách an toàn này thu thập dữ liệu từ người dùng.

Bên cạnh đó, nếu bất kỳ trang web nào được liệt kê trong danh sách an toàn bị xâm phạm, tính năng AutoFill này hoàn toàn có thể bị lợi dụng để gửi những dữ liệu bị thu thập đến các bên thứ ba độc hại khác.

Để chứng minh cho vấn đề này, Cable đã tự xây dụng một trang thử nghiệm và cho thấy cách một trang web hoàn toàn có thể lấy tên, địa chỉ email, tên công ty và vị trí.

Nhưng sau bản vá sửa lỗi ngày 19/4 được phát hành công khai bởi LinkedIn thì trang thử nghiệm này đã có thể không còn hoạt động được nữa. Dù sao thì lỗ hổng này không phải là một vấn đề phức tạp hay nghiêm trọng, thế nhưng sau vụ rò rỉ dữ liệu nhiều ngày nay của 87 triệu người dùng Facebook thì những lổ hổng bảo mật này không chỉ đe dọa nghiêm trọng đến khách hàng mà còn là chính công ty.

Minh Hương

TIN CÙNG CHUYÊN MỤC

Liệu công cụ kiểm tra nội dung AI có đán...

03/10/2024 12:00:00 94
Trên thực tế, công cụ kiểm tra nội dung AI không phải lúc nào cũng đáng tin cậy và các ví dụ sau đây...

Công cụ AI tạo sinh được bổ sung thêm tr...

02/10/2024 12:00:00 97
Với bản nâng cấp cho Microsoft Paint, người dùng rất háo hức muốn xem chất lượng hình ảnh mọi người ...

Máy tính liên tục khởi động lại vì bản c...

01/10/2024 12:00:00 82
Máy tính gặp sự cố sẽ xuất hiện lỗi màu xanh lam hoặc xanh lục, đôi khi xuất hiện công cụ Windows Au...

Lỗ hổng ChatGPT macOS có thể kích hoạt p...

30/09/2024 08:00:00 124
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể khiến kẻ...

Phát hiện lỗi lạ gây ra hiệu suất thiếu ...

30/09/2024 12:00:00 109
Trong thời gian sớm nhất, bản cập nhật mới sẽ được phát hành ra công chúng.

Mozilla đối mặt với ​​khiếu nại về quyền...

27/09/2024 08:00:00 98
Tổ chức phi lợi nhuận về quyền riêng tư noyb (viết tắt của None Of Your Business) có trụ sở tại Vien...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ