Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보사용자정보 수집에 사용되는 LinkedIn의 AutoFill 취약점
작성일 2018-05-03 조회 2479

LinkedIn Autofill 결함으로 해커가 웹 사이트 방문자의 개인 정보를 수집할 수 있는 취약점이 발견되었다.

 

Lightning Security의 Jack Cable 연구원(https://lightningsecurity.io/blog/linkedin/)은 3월 19일 해당 취약점을 발표하였다.

해당 취약점은 LinkedIn의 자동 채우기 기능의 취약점으로 LinkedIn에서 허용 목록에 포함 된 웹 사이트에 자동 채우기 iframe을 삽입하여 LinkedIn 사용자의 개인 정보를 수집할 수 있다.

 

LinkedIn의 자동 완성 도구

 

[용어설명]

- LinkedIn AutoFill
LinkedIn 플랫폼의 기능으로 일부 공용 작업 포털 또는 개인 작업 응용 프로그램 페이지에 삽입 가능
LinkedIn을 사용한 자동 채우기"버튼 기능 제공
작업 신청 양식에 추가되며, 누를 때 LinkedIn 웹 사이트에 쿼리를 작성하고 사용자의 데이터를 검색 한 다음 작업 응용 프로그램 양식에 포함

 

이는 SNS에서 버튼 객체에 대해서 허용 목록에 포함 된 웹 사이트로 처리하는 로직을 악용해 SNS상에서 활발하게 이용 될수 있으며, 최근 Fackbook 정보 유출 사건과 같은 곳에 이용될 수 있다.

 

공격자는 사이즈 및 Hidden 속성, CS값을 조정해 페이지 전체 화면에 LinkedIn 자동 완성 버튼을 배치할 수 있다.
SNS를 이용하는 사용자가 공격자의 악성 페이지에 접속해 화면 아무곳이나 클릭하게 되면 LinkedIn은 이것을 자동 완성 버튼이 눌러 진 것으로 해석하고 postMessage를 통해 정보를 악의적인 사이트로 전송한다.

 

취약환경 구성 테스트 사이트 (https://lightningsecurity.io/LinkedInDemo.html)


이 결함으로 인해 SNS뿐만 아니라 LinkedIn 사용자의 개인 정보가 플랫폼 블랙리스트에 올라 있지 않은 웹 사이트에 노출될 수 잇다.
이것은 타사 웹 사이트의 보안에 LinkedIn 사용자의 개인 정보를 위임 한 것으로 허용 된 웹 사이트 중 하나가 손상되면 LinkedIn 사용자의 정보가 해커에게 노출되는 결과를 가져온다.

 

이 결함을 악용하여 악성 웹 사이트 소유자가 수집 한 방문자의 개인 정보에는 성명, 전자 메일 주소, 위치, 직책, 회사 및 우편 번호가 포함되어 있다.

 

취약한 버전에 삽입된 AutoFill button 실공격 트래픽

 

 

 

 

대응방안
Lightning Security의 Jack Cable 연구원이 해당 취약점에 대해 LinkedIn에 경고 한 후, LinkedIn은이 취약점에 대한 패치를 발표하고 공개 성명도 발표하였다.

 

이미 인터넷에 공개되어있는 이름, 이메일 주소 및 회사 명 등의 데이터는 공개해도 좋지만 신용 카드 세부 정보 나 휴대 전화 번호는 입력하지 않는 것이 좋다. 해당 플랫폼은 자동 채우기에 포함 된 정보를 암호화해야한다.
또한 자동 완성 기능에는 경고 메시지가 표시되어 사용자가 어떤 개인 정보가 유지되고 있는지, 자동 완성 데이터를 검토하는지 명확하게 알 수 있어야 한다.

 

패치된 버전의 AutoFill button 알림메시지

 

 

 

 

Sniper 제품군 대응방안

사용자정의 Snort 정책

alert tcp any 80 -> any any (msg:"Linkedin AutoFill User Info Disclosure"; flow:to_client; content:"height:100%;"; nocase; content:"overflow: hidden;"; nocase; content:"www.linkedin.com/autofill"; priority:2; classtype:exploit; reference:url,https://lightningsecurity.io/blog/linkedin/; sid:0; rev:1; metadata:created_at 2018_05_02, updated_at 2018_05_02;)

 

 

 


참조
https://www.bleepingcomputer.com/news/security/linkedin-fixes-autofill-button-that-allowed-rogue-harvesting-of-user-data/

첨부파일 첨부파일이 없습니다.
태그 LinkedIn  AutoFill