Branch.io漏洞將Tinder,Shopify,Yelp用戶暴露於XSS攻擊下

更多全球網絡安全資訊盡在E安全官網www.easyaq.com

10月15日訊,Tinder,Shopify,Yelp等其他各平臺使用的Branch.io服務存在漏洞,用戶或已受跨站點腳本(XSS)攻擊。

當vpnMentor研究人員發現Tinder域名:go.tinder.com,存在多個XSS漏洞,他們正在分析Tinder和其它各約會應用。

Branch.io漏洞将Tinder,Shopify,Yelp用户暴露于XSS攻击下

據vpnMentor稱,黑客本可以利用這些漏洞來盜取Tinder用戶的個人資料。不過,值得指出的是,利用XSS漏洞通常需要目標用戶點擊精心製作的惡意鏈接。

獲知漏洞信息後,Tinder安全團隊開展調查,發現“go.tinder.com” 域實為 “custom.bnc.lt”的別名,一個Branch.io資源。

Branch.io公司總部位於加利福尼亞,其方案為各公司創建推薦系統的深度鏈接,和用於溯源及分析目的的邀請、分享鏈接。

vpnMentor表示,受感染的Branch.io資源也被Yelp,Western Union, Shopify,RobinHood, Letgo, imgur, Lookout, fair.com及Cuvva等其他大公司所使用。

該VPN公司研究人員預計:這些漏洞影響用戶數已高達68500萬,這些用戶都使用了該受感染的服務。

雖漏洞已修復,也無證據顯示漏洞遭惡意利用,但預防起見,vpnMentor仍建議用戶更改密碼。

關於該漏洞,專家表示,由於Branch.io未能應用內容安全政策(CSP),基於DOM的XSS在許多瀏覽器本就易遭黑客利用。

vpnMentor在一篇博客文章中寫道,“在基於DOM的XSS這類攻擊中,攻擊載荷的執行導致在受害者瀏覽器DOM環境的修改,且更多的時候是在動態環境下。在基於DOM的XSS中,HTML源代碼與攻擊應答完全一致。也就是說,無法在攻擊應答中發現惡意載荷,這給那些內置了緩解XSS特性的瀏覽器像Chrome’sXSS Auditor的執行增加了許多難度。”


分享到:


相關文章: