En las últimas horas se ha detectado una nueva vulnerabilidad en la red social profesional Linkedin que permite a un atacante publicar y compartir contenido en nombre de otros usuarios mediante una técnica conocida como clickjacking. El problema aún no ha sido solucionado y afecta a todos los usuarios de la red social.
Narendra Bhati ha sido el analista de seguridad que ha detectado esta vulnerabilidad en el servicio Linkedin. Clickjacking es una técnica que se encarga de engañar al usuario para hacer click sobre un elemento que, de lo normal, no lo haría. Para ello consta de una capa transparente que se sitúa encima de un elemento sobre el que si que vayamos a hacer click, así, al hacer click sobre el elemento real, estaremos haciendo click sobre un falso elemento que podrá realizar diferentes acciones, por ejemplo, publicar un contenido en nuestra red social como en este caso.
http://www.redeszone.net/wp-content/uploads/2013/07/LinkedIn_clickjacking_vulnerability-655x280.jpg
Para protegernos antes esto debemos instalar un plugin en nuestro navegador que bloquee los scripts que se ejecutan sin consentimiento, por ejemplo, en Firefox podemos utilizar la extensión NoScript y en Chrome podemos instalar ScriptSafe para poder evitar lo máximo posible caer en este tipo de ataques.
También debemos fijarnos siempre en lo que publicamos y compartamos para evitar este tipo de acciones. Acciones más seguras es revisar el código del elemento que vamos a pulsar para ver si, en verdad, corresponde al link o de lo contrario está suplantado. Los responsables de Linkedin ya tienen conocimiento de este fallo y están trabajando para poder poner una solución a esta vulnerabilidad lo antes posible.
Hace pocas semanas os alertábamos de algo similar detectado en el plugin Flash de Google Chrome. Con ello se conseguía engañar al usuario para que, al hacer click sobre un enlace, lo único que conseguía era activar la webcam y el micrófono para ser espiado por el atacante. En el caso de Linkedin el atacante engaña al usuario para que publique links o imágenes en su nombre haciendo click sobre un link oculto.
http://www.redeszone.net/2013/07/15/vulnerabilidad-clickjacking-detectada-en-linkedin/