隱私風波蔓延！LinkedIn「自動填寫」功能漏洞可致用戶信息泄露

近日，年僅18歲的安全研究人員Jack Cable發現LinkedIn中的「自動填充」功能漏洞，允許攻擊者收集用戶數據。

儘管安全專家和公眾的視線仍然聚焦在Facebook泄密醜聞背後的Cambridge Analytica公司身上，但是近日，另一起引人擔憂的泄露案件再次佔據新聞頭條。安全研究人員發現，私人情報機構LocalBlox將不安全的AWS存儲桶公開暴露在網路上，其中包含從Facebook、LinkedIn和Twitter處收集的4800萬條記錄。

毫無疑問，數據收集已經成為一種司空見慣的做法，許多公司和情報機構都會出於各種不同的原因進行數據收集工作，很顯然，我們發現的還只是冰山一角。

當然，除了出於主觀意識的數據收集外，有時候，這種行為還會受到社交媒體平台功能實現漏洞的影響。

本月初，Facebook創始人馬克·扎克伯格（Mark Zuckerberg）承認，英國數據分析公司Cambridge Analytica從2014年就開始收集Facebook用戶的個人數據，據悉，這家公司最著名的工作就是曾協助美國總統特朗普的2016年總統競選活動。而在此次Facebook「泄密門」事件中，該公司主要利用了Facebook搜索功能中的一個缺陷，該功能允許任何人通過他們的電子郵件地址或電話號碼查找用戶。

而如今，安全研究人員Jack Cable又在LinkedIn中發現了一個功能實現漏洞，據悉，這個漏洞的功能屬於LinkedIn的「自動填充」功能，允許惡意行為者收集用戶數據。該「自動填充」功能可以幫助用戶快速填寫LinkedIn個人資料中的數據，包括姓名、職位、公司、電子郵件地址、電話號碼、所在城市、郵政編碼以及所在州和國家等信息。

Cable解釋稱，惡意網站可以在頁面中植入一個插件，只要用戶登錄LinkedIn時點擊網頁，就會觸發隱藏的「根據LinkedIn信息自動填寫」的按鈕，最終導致用戶數據泄露。以下是漏洞利用具體流程：

·用戶訪問載入LinkedIn自動填充按鈕插件的惡意網站；

·該插件被設計為佔據整個頁面且對用戶不可見；

·當用戶點擊頁面上的任何位置，LinkedIn都會將其理解為正在按下「自動填充」按鈕，並通過postMessage將信息發送給惡意網站；

·隨後，該惡意網站通過以下代碼收集用戶的信息：

window.addEventListener("message", receiveMessage, false);

function receiveMessage(event)

{

if (event.origin == "https://www.linkedin.com") {

let data = JSON.parse(event.data).data;

if (data.email) {

alert("Hi, " + data.firstname + " " + data.lastname + "! Your email is " + data.email + ". You work at " + data.company + " and you live in " + data.city + ", " + data.state + ".");

console.log(data);

}

}

console.log(event)

}

Cable指出，通過使用這一技巧，攻擊者甚至可以濫用LinkedIn自動填充功能來訪問非公開數據，儘管LinkedIn在其文檔中聲稱只提供公開數據來填寫表單。

據悉，Cable早在4月9日就已經發現了這一安全問題，並迅速將其提交給了LinkedIn。一開始，LinkedIn並沒有將問題公之於眾，而是選擇在4月10日偷偷發布了補丁，將自動填充功能限制在公司白名單網站內。當然，這種方法根本無法真正解決該安全問題，因為只要這些網站存在漏洞，黑客一樣有能力侵入白名單網站並繼續從LinkedIn上收集數據。

直至4月19日，LinkedIn才最終發布了一個穩定的解決方案來應對該安全問題。LinkedIn回應稱，沒有證據表明，這一機制是用來搜集用戶數據的。但是Cable回應稱，其他公司完全有可能在領英不知情的情況下利用漏洞，因為領英伺服器不會收到任何警報。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！