Hlavní navigace

Linkedin opakovaně ignorovalo vážnou bezpečnostní chybu

 Autor: LinkedIn
Daniel Dočekal 23. 6. 2014

Chyba přitom umožňuje získat útočníkovi přístup k informacím i účtům uživatelů. Neopravena zůstala i přes opakované nahlašování déle než rok.

Sanfranciská firma Zimperium Mobile Defense Security upozorňuje, že v průběhu loňského roku opakovaně nahlašovala kritickou bezpečnostní chybu v Linkedin, ale ani více než rok poté nedošlo k její opravě pro všechny uživatele.

S využitím MITM (Man In The Middle) útoku používajícího SSL stripping je přitom na Linkedin možné získat přimou kontrolu účtu uživatele (unesením sezení). A s tím samozřejmě také přístup ke všem údajům, které v Linkedin má.

Získání plného přístupu k účtu umožní útočníkovi kompletní práci s profilem, včetně správy kontaktů či firemních stránek, které má uživatel ve správě.

Útok využívající „SSL stripping“ nahrazuje zabezpečenou https komunikaci nezabezpečenou variantou. V případě Linkedin se tak útočník snadno dostane k informacím o uživateli, včetně cookies a dalších identifikačních prvků. A následně se může autentifikovat a podvrhnout sezení. Zásadní nedostatek na Linkedin je podle Zimperium to, že hlavní stránka (a prvotní přihlášení) sice používá SSL, ale po přihlášení už komunikace přes SSL neprobíhá.

Útok v této podobě je možný pouze, pokud se útočník nachází na stejné síti jako napadený uživatel a spočívá v nahrazení https://www.linkedin.com verzí bez SSL, čímž se útočník dostane okamžitě k přihlašovacím údajům. Pokud uživatel již přihlášený je, stačí pouze zneužít cookies z existujícího sezení. Absence https komunikace navíc umožňuje upravovat jejich obsah.

Zapněte https ručně

Problém se týká i mobilních stránek Linkedin, zatímco mobilní aplikace je proti tomuto útoku imunní, konstatuje zakladatel Zimperia Zuk Avraham. Podle reakce Linkedin by už chyba neměla ohrožovat uživatele v Evropě a USA: „V prosinci 2013 jsme začali s přechodem na https komunikaci u všech stránek a právě minulý týden jsme ohlásili, že všem uživatelům v Evropě a USA posíláme veškerý traffic přes https,“ reagovala firma například pro Securityaffairs.

Podle Zimperia ale stále existuje řada starších nebo nových účtů amerických i evropských uživatelů, na kterých toto nové nastavení není aktivováno. Firma tak uživatelům Linkedin doporučuje, aby v nastavení účtu ručně aktivovali použití https. Mělo by to zajistit, že https bude skutečně aktivní i na všech ostatních stránkách, ne pouze při přihlašování. 

Jak na to: Hledejte přes vaši ikonku vpravo nahoře → Privacy & Settings (Nastavení) ->  Account (Účet) → Manage Security Setting (Správa nastavení zabezpečení).

WT100

Když už na této stránce budete, tak je možná vhodný čas zapnout pro Linkedin také dodatečné ověřování přihlášení přes SMS poslanou na mobilní telefon. Což byste ostatně měli udělat i pro další služby, kde je to možné – Twitter i Facebook umí ověřovat skrz mobilní aplikace, Google přes generátor kódů.

Zdroj: LinkedIn 0day Vulnerability Puts Your Data at Risk

Našli jste v článku chybu?
Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

DigiZone.cz: Sony MP-CL1A: miniaturní projektor

Sony MP-CL1A: miniaturní projektor

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

DigiZone.cz: Test: brýle pro virtuální realitu Exos Urban

Test: brýle pro virtuální realitu Exos Urban

DigiZone.cz: Nejnovější špičkové TV ve videu

Nejnovější špičkové TV ve videu

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Vitalia.cz: Když bílkoviny, tak jíme ty nekvalitní

Když bílkoviny, tak jíme ty nekvalitní

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

DigiZone.cz: Pure má tři nové přijímače DAB

Pure má tři nové přijímače DAB

DigiZone.cz: Digi2GO: výborný základ, ale...

Digi2GO: výborný základ, ale...

Vitalia.cz: Inspekce našla nelegální sklad v SAPĚ. Zase

Inspekce našla nelegální sklad v SAPĚ. Zase

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst