LinkedIn AutoFillを悪用してユーザーデータを収集。LinkedIn社は直ちに修正済み。
シカゴの18歳のバグハンターは、LinkedInのソーシャルボタンに脆弱性があることを報告した。
この脆弱性は「LinkedIn AutoFill」に存在した。
LinkedInプラットフォームの機能で、一部の公的求人ポータルまたは私的な求人アプリケーションページにある「LinkedInでオートフィルする」ボタンに機能する。
このボタンは、求人申込書に追加するためのもので、押されると、LinkedInウェブサイトへのクエリを作成し、ユーザーのデータを取得し、ジョブ・アプリケーション・フォームに埋め込む。
ボタンを拡大したページ全体を覆う
このボタンは便利で便利だが、先週、セキュリティ研究者のJack Cable氏は、どのWebサイトでも秘密のユーザーデータ収集操作を悪用する可能性があることを発見。
同氏は、本日発表されたレポートでは、どのWebサイトでもこのボタンを秘密裏に埋め込み、いくつかのCSS設定を調整してボタンのサイズを変更し、画面全体をカバーするのである。
このタイプの悪質なウェブサイトを訪れるどのユーザも、ページ上のどこかを最初にクリックしたときに、無関係にLinkedIn情報を、攻撃者に送信する事になるのだ。
この仕組みを悪用すれば、先日、Facebookを使ったケンブリッジアナリティカのように大規模なデータ収集が行われる可能性がある。
この脆弱性のProof of Concept
エクスプロイト手順
Cable氏自身が公開しているブログに掲載されているPoC手順は以下。
- ユーザーが悪意のあるサイトにアクセスすると、LinkedInのオートフィルボタンiframeが読み込まれる。
- ユーザーには見えないようスタイルで、iframeはページ全体を占有する。
- ユーザーはページ上の任意の場所をクリック。すると、LinkedInはこれをAutoFillボタンが押されたと解釈し、postMessage経由で悪質なサイトに情報を送信する。
- サイトは、次のコードを使用してユーザーの情報を収集する。
また、Cable氏は、本脆弱性のPoCとしてデモサイトを公開している。
デモサイトは、一見すると何の変哲も無い静的なHTMLサイトである。
実はLinkedIn Autofillボタンをがされており、ページをクリックするとアラートメッセージが表示される。
LinkedInは直ちに修正
Cable氏は4月9日にLinkedInのセキュリティチームに通知。
暫定処置としてLinkedInセキュリティチームは、「Autofill with LinkedIn」ボタンを押す事によってユーザー情報が送信される先を、信頼できるドメインに限るホワイトリスト方式に変更した。
Cable氏は、今日(米国時間5/15)LinkedInは、この報告書を発表した直後に、根本的な修正をリリースしたと語った。
リリースされた修正は、自分の情報の共有を承認するよう警告する”アラートメッセージ”である。
>こちらのページで試行可能(LinkedInのコンタクトセールスの公式ページ)
LinkedInの公式回答
LinkedInは、公式回答をTech Crunchに対して行なった。
以下に、公式回答のエッセンスだけ抜粋して翻訳・引用する。
私たちはすぐにこの問題を認識し、同機能の不正使用を直ちに防止する対策を講じました。 更に、他にも潜在的なセキュリティインシデントに繋がる脆弱性に対する別の修正を進めており、間もなく適用される予定です。 本件に関してエクスプロイト兆候は見られませんでしたが、メンバーのデータが確実に保護されるように常に努めています。今回は、リサーチ担当者に責任感を持って報告していただきありがとうございます。セキュリティチームは今後も引き続き連絡を取り合っていきます。
本件に対する対策を簡潔に申し上げると、LinkedInオートフィルを全ドメインに開放するのではなく、承認された広告主を登録したホワイトリスト・ドメインでのみ動作します。該当ドメインに対しては、引き続きAutofillボタンを使って、LinkedInプロフィール欄に記載されているプロフィールを入力する事が出来ます。
Cable氏について
Cable氏は、今回のLinkedInの問題を発見する以前、17歳の時にHack the Air Forceバグバウンティプログラムに参加した経験を持つ。
その際、彼は40個ものバグを発見し、同プログラムにおいて一位に輝いた。
以下はその時のニュース記事。