LinkedIn ha solucionado una vulnerabilidad en su botón de autocompletar que hubiera permitido a una web maliciosa recolectar información básica de tu perfil de LinkedIn.
Introducido hace unos años, AutoFill se promocionaba como una cómoda forma para que las webs capturaran el nombre, correo electrónico, teléfono, situación geográfica, nombre de la empresa y puesto de un visitante.
Los visitantes debían estar conectados a LinkedIn para que esto funcionara sin problemas. Los que no estuvieran conectados verían un botón que pondría “conectarse a LinkedIn”.
Dado la sensibilidad de los datos capturados, se supone que solo estaría disponible para un pequeño grupo de webs escogidas que pagaran por ese servicio.
Pero según el investigador Jack Cable, cualquier web maliciosa lo podía tener, oculto, de manera que obtuviese tus datos sin que te dieras cuenta.
Lo único que tendría que hacer una víctima inconsciente es hacer clic en cualquier lugar de una web maliciosa como demostró la prueba de concepto de Cable. El investigador declaró:
Esto se debe a que el botón de autocompletar se puede hacer invisible y expandir a toda la página, provocando que un clic del usuario en cualquier lugar enviaría su información a la web.
Después de informar el pasado 9 de abril, LinkedIn solucionó parcialmente el problema al día siguiente, restringiendo el plugin a la lista de webs que tienen permiso para utilizar AutoFill. Según LinkedIn:
Inmediatamente impedimos el uso no autorizado de esta herramienta, una vez no avisaron del problema. Estamos desarrollando otra solución que prevendría otros potenciales abusos que estará disponible pronto.
LinkedIn afirmó que no tenía indicios que esta vulnerabilidad hubiera sido explotada y agradeció a Cable que les hubiera informado.
El parche del 10 de abril impedía que webs que no tuvieran permiso utilizaran el código, pero todavía podía ser utilizado por web con permiso que tuvieran alguna vulnerabilidad cross-site scripting (XSS). Esto se solucionó el 19 de abril.
Las vulnerabilidades webs son increíblemente comunes, pero esta exponía temas más importantes.
Lo primero es que una vulnerabilidad seria se estaba escondiendo a plena luz, lo que sugiere un testeado inadecuado.
En segundo lugar, y posiblemente peor, los usuarios de LinkedIn que estan conectados tenían muy poco control sobre esta herramienta.
Visita una web con AutoFill instalado (Twitter, SalesForce, Twilio, por ejejmplo) y como dice su nombre tus datos se cargarán automáticamente para que los envíes. Sin embargo, no parece haber una configuración de LinkedIn que gestione este punto.
Una contramedida que puedes tomar (que también te protege de todos las peticiones cross-site) es desconectarte de webs como LinkedIn cuando termines de utilizarlas.
Mientras tanto, la explicación de LinkedIn sobre la seguridad de AutoFill es ayudar a las webs que lo implementan, como si los datos de sus usuarios fueran un recurso que debe ser diseminado por todas partes.
Es un modelo que explica cómo funciona habitualmente la web. Como los problemas de Facebook sugieren, en un futuro posiblemente no sean tan descuidados.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario