Branch.io漏洞將Tinder,Shopify,Yelp用戶暴露於XSS攻擊下
更多全球網路安全資訊盡在E安全官網www.easyaq.com
10月15日訊,Tinder,Shopify,Yelp等其他各平台使用的Branch.io服務存在漏洞,用戶或已受跨站點腳本(XSS)攻擊。
當vpnMentor研究人員發現Tinder域名:go.tinder.com,存在多個XSS漏洞,他們正在分析Tinder和其它各約會應用。
據vpnMentor稱,黑客本可以利用這些漏洞來盜取Tinder用戶的個人資料。不過,值得指出的是,利用XSS漏洞通常需要目標用戶點擊精心製作的惡意鏈接。
獲知漏洞信息後,Tinder安全團隊開展調查,發現「go.tinder.com」 域實為 「custom.bnc.lt」的別名,一個Branch.io資源。
Branch.io公司總部位於加利福尼亞,其方案為各公司創建推薦系統的深度鏈接,和用於溯源及分析目的的邀請、分享鏈接。
vpnMentor表示,受感染的Branch.io資源也被Yelp,Western Union, Shopify,RobinHood, Letgo, imgur, Lookout, fair.com及Cuvva等其他大公司所使用。
該VPN公司研究人員預計:這些漏洞影響用戶數已高達68500萬,這些用戶都使用了該受感染的服務。
雖漏洞已修復,也無證據顯示漏洞遭惡意利用,但預防起見,vpnMentor仍建議用戶更改密碼。
關於該漏洞,專家表示,由於Branch.io未能應用內容安全政策(CSP),基於DOM的XSS在許多瀏覽器本就易遭黑客利用。
vpnMentor在一篇博客文章中寫道,「在基於DOM的XSS這類攻擊中,攻擊載荷的執行導致在受害者瀏覽器DOM環境的修改,且更多的時候是在動態環境下。在基於DOM的XSS中,HTML源代碼與攻擊應答完全一致。也就是說,無法在攻擊應答中發現惡意載荷,這給那些內置了緩解XSS特性的瀏覽器像Chrome』sXSS Auditor的執行增加了許多難度。」
※美國將向北約盟友提供「網路戰」技術
※愛打遊戲也是一種出路!可以轉行搞安全
TAG:E安全 |