LinkedIn umožňuje MitM útoky, krádež sezení i přihlašovacích údajů

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: Batou
Datum: 22.6.2014
Hodnocení/Hlasovalo: 1/1

Na web LinkedIn lze totiž využít tzv. SSL stripping, přihlásit se za legitimního uživatele a dělat si s jeho účtem co se nám zlíbí. Zranitelnost zveřejnila před pár dny společnost Zimperium, LinkedIn kontaktovala již před rokem.

Společnost Zimperium k nálezu použila svůj vlastní software, zAnti. Stejně dobře by však mohl posloužit leckterý jiný nástroj umožňující ARP/DNS poisoning, nebo využívající nějaké BGP zranitelnosti.

Dokázali získat kompletní nadvládu nad účtem, což by třeba v případě firemního profilu bylo jistě velmi nepříjemné pro renomé společnosti. Chyba se přitom pravděpodobně týká všech uživatelů a ne vždy musí být útočník přihlášen ke stejné síti jako oběť. Pokud již uživatel měl některé zařízení kompromitováno a připojí se k jiné síti než útočník, ten může dále přistupovat k jeho profilu a využít svou oběť pro útok na ostatní uživatele v nové síti.

K využití chyby na LinkedIn poslouží již zmíněný SSL stripping. Útočník, který se musí samozřejmě nacházet „mezi obětí a serverem“, pak „downgraduje“ veškeré HTTPS requesty na pouhé HTTP.

Zástupce LinkedInu, Nicole Leverich, k tomu uvedl, že v prosinci minulého roku začali celý server převádět na defaultní HTTPS. Zrovna minulý týden oznámili, že všichni uživatelé v Evropě i USA již přes HTTPS surfují neustále a tyto útoky již nejsou účinné, CEO Zimperia však tvrdí opak a tvrzení dokládá videem.

Více informací ve zdroji či na webu eWeek.