Hlavní navigace

Linkedin opakovaně ignorovalo vážnou bezpečnostní chybu

Autor: LinkedIn
Daniel Dočekal

Chyba přitom umožňuje získat útočníkovi přístup k informacím i účtům uživatelů. Neopravena zůstala i přes opakované nahlašování déle než rok.

Sanfranciská firma Zimperium Mobile Defense Security upozorňuje, že v průběhu loňského roku opakovaně nahlašovala kritickou bezpečnostní chybu v Linkedin, ale ani více než rok poté nedošlo k její opravě pro všechny uživatele.

S využitím MITM (Man In The Middle) útoku používajícího SSL stripping je přitom na Linkedin možné získat přimou kontrolu účtu uživatele (unesením sezení). A s tím samozřejmě také přístup ke všem údajům, které v Linkedin má.

Získání plného přístupu k účtu umožní útočníkovi kompletní práci s profilem, včetně správy kontaktů či firemních stránek, které má uživatel ve správě.

Útok využívající „SSL stripping“ nahrazuje zabezpečenou https komunikaci nezabezpečenou variantou. V případě Linkedin se tak útočník snadno dostane k informacím o uživateli, včetně cookies a dalších identifikačních prvků. A následně se může autentifikovat a podvrhnout sezení. Zásadní nedostatek na Linkedin je podle Zimperium to, že hlavní stránka (a prvotní přihlášení) sice používá SSL, ale po přihlášení už komunikace přes SSL neprobíhá.

Útok v této podobě je možný pouze, pokud se útočník nachází na stejné síti jako napadený uživatel a spočívá v nahrazení https://www.linkedin.com verzí bez SSL, čímž se útočník dostane okamžitě k přihlašovacím údajům. Pokud uživatel již přihlášený je, stačí pouze zneužít cookies z existujícího sezení. Absence https komunikace navíc umožňuje upravovat jejich obsah.

Zapněte https ručně

Problém se týká i mobilních stránek Linkedin, zatímco mobilní aplikace je proti tomuto útoku imunní, konstatuje zakladatel Zimperia Zuk Avraham. Podle reakce Linkedin by už chyba neměla ohrožovat uživatele v Evropě a USA: „V prosinci 2013 jsme začali s přechodem na https komunikaci u všech stránek a právě minulý týden jsme ohlásili, že všem uživatelům v Evropě a USA posíláme veškerý traffic přes https,“ reagovala firma například pro Securityaffairs.

Podle Zimperia ale stále existuje řada starších nebo nových účtů amerických i evropských uživatelů, na kterých toto nové nastavení není aktivováno. Firma tak uživatelům Linkedin doporučuje, aby v nastavení účtu ručně aktivovali použití https. Mělo by to zajistit, že https bude skutečně aktivní i na všech ostatních stránkách, ne pouze při přihlašování. 

Jak na to: Hledejte přes vaši ikonku vpravo nahoře → Privacy & Settings (Nastavení) ->  Account (Účet) → Manage Security Setting (Správa nastavení zabezpečení).

KL17-nominace

Když už na této stránce budete, tak je možná vhodný čas zapnout pro Linkedin také dodatečné ověřování přihlášení přes SMS poslanou na mobilní telefon. Což byste ostatně měli udělat i pro další služby, kde je to možné – Twitter i Facebook umí ověřovat skrz mobilní aplikace, Google přes generátor kódů.

Zdroj: LinkedIn 0day Vulnerability Puts Your Data at Risk

Našli jste v článku chybu?