Hlavní navigace

Linkedin opakovaně ignorovalo vážnou bezpečnostní chybu

 Autor: LinkedIn
Daniel Dočekal 23. 6. 2014

Chyba přitom umožňuje získat útočníkovi přístup k informacím i účtům uživatelů. Neopravena zůstala i přes opakované nahlašování déle než rok.

Sanfranciská firma Zimperium Mobile Defense Security upozorňuje, že v průběhu loňského roku opakovaně nahlašovala kritickou bezpečnostní chybu v Linkedin, ale ani více než rok poté nedošlo k její opravě pro všechny uživatele.

S využitím MITM (Man In The Middle) útoku používajícího SSL stripping je přitom na Linkedin možné získat přimou kontrolu účtu uživatele (unesením sezení). A s tím samozřejmě také přístup ke všem údajům, které v Linkedin má.

Získání plného přístupu k účtu umožní útočníkovi kompletní práci s profilem, včetně správy kontaktů či firemních stránek, které má uživatel ve správě.

Útok využívající „SSL stripping“ nahrazuje zabezpečenou https komunikaci nezabezpečenou variantou. V případě Linkedin se tak útočník snadno dostane k informacím o uživateli, včetně cookies a dalších identifikačních prvků. A následně se může autentifikovat a podvrhnout sezení. Zásadní nedostatek na Linkedin je podle Zimperium to, že hlavní stránka (a prvotní přihlášení) sice používá SSL, ale po přihlášení už komunikace přes SSL neprobíhá.

Útok v této podobě je možný pouze, pokud se útočník nachází na stejné síti jako napadený uživatel a spočívá v nahrazení https://www.linkedin.com verzí bez SSL, čímž se útočník dostane okamžitě k přihlašovacím údajům. Pokud uživatel již přihlášený je, stačí pouze zneužít cookies z existujícího sezení. Absence https komunikace navíc umožňuje upravovat jejich obsah.

Zapněte https ručně

Problém se týká i mobilních stránek Linkedin, zatímco mobilní aplikace je proti tomuto útoku imunní, konstatuje zakladatel Zimperia Zuk Avraham. Podle reakce Linkedin by už chyba neměla ohrožovat uživatele v Evropě a USA: „V prosinci 2013 jsme začali s přechodem na https komunikaci u všech stránek a právě minulý týden jsme ohlásili, že všem uživatelům v Evropě a USA posíláme veškerý traffic přes https,“ reagovala firma například pro Securityaffairs.

Podle Zimperia ale stále existuje řada starších nebo nových účtů amerických i evropských uživatelů, na kterých toto nové nastavení není aktivováno. Firma tak uživatelům Linkedin doporučuje, aby v nastavení účtu ručně aktivovali použití https. Mělo by to zajistit, že https bude skutečně aktivní i na všech ostatních stránkách, ne pouze při přihlašování. 

Jak na to: Hledejte přes vaši ikonku vpravo nahoře → Privacy & Settings (Nastavení) ->  Account (Účet) → Manage Security Setting (Správa nastavení zabezpečení).

Když už na této stránce budete, tak je možná vhodný čas zapnout pro Linkedin také dodatečné ověřování přihlášení přes SMS poslanou na mobilní telefon. Což byste ostatně měli udělat i pro další služby, kde je to možné – Twitter i Facebook umí ověřovat skrz mobilní aplikace, Google přes generátor kódů.

Zdroj: LinkedIn 0day Vulnerability Puts Your Data at Risk

Našli jste v článku chybu?

23. 6. 2014 17:28

Rozumíme si. V praxi se ujme to, co se používá, což nemusí být vždy to správnější, přesnější, lepší atd. Jenom v tomto případě mě to zrovna tahá za uši, toť vše :-)

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: Dva doklady netřeba, dejte to na účtenku k EET

Dva doklady netřeba, dejte to na účtenku k EET

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Měšec.cz: Banky mlží o nákladech na předčasnou splátku hypotéky

Banky mlží o nákladech na předčasnou splátku hypotéky

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Měšec.cz: Europlatby: někde bez poplatku, jinde i 350 Kč

Europlatby: někde bez poplatku, jinde i 350 Kč

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Vitalia.cz: Nahradí sluch, ale zvuk je zcela jiný

Nahradí sluch, ale zvuk je zcela jiný

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Měšec.cz: Za palivo zaplatíte mobilem (TEST)

Za palivo zaplatíte mobilem (TEST)

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují