میلیون ها کاربر Linkedin در معرض حمله Man-in-the-Middle می باشند

حدود دو سال پیش و در سال 2012 بود که یکی از محبوبترین شبکه های اجتماعی موسوم به Linkedin هزینه ای در حدود 0.5 تا 1 میلیون دلار را بابت سوء استفاده از اکانت کاربرانش ( که از یک سورس اطلاعاتی شنود شده بود) متحمل شد. به نظر می رسد که Linkedin درس عبرت از مشکل دو سال پیش خود نگرفته است.

حمله Man-in-the-Middle سالیان سال است که وجود دارد و بسیار مورد علاقه مهاجمان می باشد. اما با این وجود، بسیاری از شبکه های اجتماعی که در معرض این خطر هستند، تا کنون اقدام قابل توجهی را برای حفاظت از اطلاعات کاربران خود انجام نداده اند و همچنان به این حمله آسیب پذیر می باشند.

بدون شک Linkedin  به جای استفاده از پروتکل HTTPS ، می تواند اطلاعات خود را در بستر  پروتکل (HSTS (HTTP Strict Transport Security منتقل کند تا از آسیب پذیری هایی که ممکن است آن را در بستر HTTP تهدید کند در امان باشد.

بر اساس تحقیقات به عمل آمده در مرکز دفاعی تهدیدات موبایل Zimperium ، پیاده سازی ضعیف HTTPS/SSL به مهاجمان اجازه می دهد که ارتباط کاربران را قطع کرده و با جایگزینی HTTP به جای HTTPS آنها را مورد حمله قرار دهد.

در ویدئو زیر، محققان به طور عملی با استفاده از SSL stripping نشان می دهند که چطور می شود حمله Man in the middle را بر روی وبسایت Linkedin انجام داد و اطلاعات کاربران را بدست آورد.

با اعمال حمله Man in the middle روی وبسایت Linkedin می توان به اطلاعات محرمانه ای دسترسی پیدا کرد، یا اینکه session ها را بدست آورد و خود را به جای افراد دیگر جا زد. مهاجمان در این حمله می توانند به اطلاعات زیر دست پیدا کرد:

• آدرس ایمیل
• رمزعبور
• خواندن و ارسال پیام به دیگر کاربران
• برقراری ارتباطات مختلف
• کسانی که پروفایل را بازدید کرده اند

جالب است که در این حمله، مهاجمان می توانند خود را به جای دیگران معرفی کرده و کارهای زیر را انجام دهند:

• ارسال دعوتنامه برای برقراری ارتباط
• ویرایش پروفایل کاربران
• ویرایش موقعیت های شغلی
• مدیریت صفحات شرکت ها

بنابراین نه تنها اطلاعات شخصی افراد در معرض خطر می باشند، بلکه اگر فردی مدیر شبکه باشد امکان دارد که به شبکه هم آسیب بزند و بتواند ارتباطات را دردست بگیرد.

علاوه بر این، لزومی ندارد که مهاجم برای اعمال یک چنین آسیب پذیری در همان شبکه حضور داشته باشد. در چنین موردی ، مهاجم می تواند از راه دور و از هر شبکه ای، وارد شبکه دیگر شود و مهاجم با بکارگیری دستگاه قربانی می تواند حمله Man in the middle را انجام دهد.

محققان Ziperium اولین گزارش ها را در مورد این آسیب پذیری در ماه می سال 2013 ارائه کرده اند. علی رغم اینکه این موضوع شش مرتبه به Linkedin  در سال گذشته اعلام شد، اما واکنش جدی از سوی شرکت ملاحظه نشد.

در همین راستا سخن گوی Linkedin ، نیکول لوریچ اذعان کرده که مطالبی که توسط Ziperium توصیف شده است، حجم گسترده ای از کاربرانی که از HTTPS استفاده می کنند را شامل نمی شود.

با وجود این  Linkedin به کاربران خود پیشنهاد کرده که در تنظیمات خود از HTTPS استفاده کنند. برای انجام این تنظیمات، گزینه account را انتخاب کرده و بر روی گزینه  manage security settings کلیلک کنید.