Hlavní navigace

Linkedin opakovaně ignorovalo vážnou bezpečnostní chybu

Autor: LinkedIn
Daniel Dočekal

Chyba přitom umožňuje získat útočníkovi přístup k informacím i účtům uživatelů. Neopravena zůstala i přes opakované nahlašování déle než rok.

Sanfranciská firma Zimperium Mobile Defense Security upozorňuje, že v průběhu loňského roku opakovaně nahlašovala kritickou bezpečnostní chybu v Linkedin, ale ani více než rok poté nedošlo k její opravě pro všechny uživatele.

S využitím MITM (Man In The Middle) útoku používajícího SSL stripping je přitom na Linkedin možné získat přimou kontrolu účtu uživatele (unesením sezení). A s tím samozřejmě také přístup ke všem údajům, které v Linkedin má.

Získání plného přístupu k účtu umožní útočníkovi kompletní práci s profilem, včetně správy kontaktů či firemních stránek, které má uživatel ve správě.

Útok využívající „SSL stripping“ nahrazuje zabezpečenou https komunikaci nezabezpečenou variantou. V případě Linkedin se tak útočník snadno dostane k informacím o uživateli, včetně cookies a dalších identifikačních prvků. A následně se může autentifikovat a podvrhnout sezení. Zásadní nedostatek na Linkedin je podle Zimperium to, že hlavní stránka (a prvotní přihlášení) sice používá SSL, ale po přihlášení už komunikace přes SSL neprobíhá.

Útok v této podobě je možný pouze, pokud se útočník nachází na stejné síti jako napadený uživatel a spočívá v nahrazení https://www.linkedin.com verzí bez SSL, čímž se útočník dostane okamžitě k přihlašovacím údajům. Pokud uživatel již přihlášený je, stačí pouze zneužít cookies z existujícího sezení. Absence https komunikace navíc umožňuje upravovat jejich obsah.

Zapněte https ručně

Problém se týká i mobilních stránek Linkedin, zatímco mobilní aplikace je proti tomuto útoku imunní, konstatuje zakladatel Zimperia Zuk Avraham. Podle reakce Linkedin by už chyba neměla ohrožovat uživatele v Evropě a USA: „V prosinci 2013 jsme začali s přechodem na https komunikaci u všech stránek a právě minulý týden jsme ohlásili, že všem uživatelům v Evropě a USA posíláme veškerý traffic přes https,“ reagovala firma například pro Securityaffairs.

Podle Zimperia ale stále existuje řada starších nebo nových účtů amerických i evropských uživatelů, na kterých toto nové nastavení není aktivováno. Firma tak uživatelům Linkedin doporučuje, aby v nastavení účtu ručně aktivovali použití https. Mělo by to zajistit, že https bude skutečně aktivní i na všech ostatních stránkách, ne pouze při přihlašování. 

Jak na to: Hledejte přes vaši ikonku vpravo nahoře → Privacy & Settings (Nastavení) ->  Account (Účet) → Manage Security Setting (Správa nastavení zabezpečení).

START17

Když už na této stránce budete, tak je možná vhodný čas zapnout pro Linkedin také dodatečné ověřování přihlášení přes SMS poslanou na mobilní telefon. Což byste ostatně měli udělat i pro další služby, kde je to možné – Twitter i Facebook umí ověřovat skrz mobilní aplikace, Google přes generátor kódů.

Zdroj: LinkedIn 0day Vulnerability Puts Your Data at Risk

Našli jste v článku chybu?
23. 6. 2014 17:28

Rozumíme si. V praxi se ujme to, co se používá, což nemusí být vždy to správnější, přesnější, lepší atd. Jenom v tomto případě mě to zrovna tahá za uši, toť vše :-)