新闻快讯
< >

Branch.io漏洞将Tinder,Shopify,Yelp用户暴露于XSS攻击下

10月15日讯,Tinder,Shopify,Yelp等其他各平台使用的Branch.io服务存在漏洞,用户或已受跨站点脚本(XSS)攻击。

当vpnMentor研究人员发现Tinder域名:go.tinder.com,存在多个XSS漏洞,他们正在分析Tinder和其它各约会应用。

Branch.io漏洞将Tinder,Shopify,Yelp用户暴露于XSS攻击下-E安全

据vpnMentor称,黑客本可以利用这些漏洞来盗取Tinder用户的个人资料。不过,值得指出的是,利用XSS漏洞通常需要目标用户点击精心制作的恶意链接。

获知漏洞信息后,Tinder安全团队开展调查,发现“go.tinder.com” 域实为 “custom.bnc.lt”的别名,一个Branch.io资源。

Branch.io公司总部位于加利福尼亚,其方案为各公司创建推荐系统的深度链接,和用于溯源及分析目的的邀请、分享链接。

vpnMentor表示,受感染的Branch.io资源也被Yelp,Western Union, Shopify,RobinHood, Letgo, imgur, Lookout, fair.com及Cuvva等其他大公司所使用。

该VPN公司研究人员预计:这些漏洞影响用户数已高达68500万,这些用户都使用了该受感染的服务。

虽漏洞已修复,也无证据显示漏洞遭恶意利用,但预防起见,vpnMentor仍建议用户更改密码。

关于该漏洞,专家表示,由于Branch.io未能应用内容安全政策(CSP),基于DOM的XSS在许多浏览器本就易遭黑客利用。

vpnMentor在一篇博客文章中写道,“在基于DOM的XSS这类攻击中,攻击载荷的执行导致在受害者浏览器DOM环境的修改,且更多的时候是在动态环境下。在基于DOM的XSS中,HTML源代码与攻击应答完全一致。也就是说,无法在攻击应答中发现恶意载荷,这给那些内置了缓解XSS特性的浏览器像Chrome’sXSS Auditor的执行增加了许多难度。”