Около 700 млн пользователей оказались под угрозой из-за уязвимости в branch.io

image

Теги: уязвимость, XSS

Из инструмента branch.io для разработчиков уязвимость перекочевала во множество сервисов и приложений.

Исследователи безопасности обнаружили серьезную уязвимость, затрагивающую такие сервисы, как Tinder, Yelp, Shopify, Western Union и пр., и ставящую под угрозу сотни миллионов пользователей.

Изначально проблема была обнаружена в ходе аудита кодов сайтов знакомств. Выявив XSS-уязвимость на поддомене Tinder.com, а точнее на go.tinder.com, исследователи сообщили о ней производителям приложений.

Однако, как оказалось, проблема распространялась далеко за пределы сайтов знакомств. По словам специалистов из VPNMentor, ныне уже исправленная уязвимость ставила под угрозу порядка 685 млн пользователей. С ее помощью злоумышленники могли осуществить межсайтовый скриптинг через DOM (так называемый DOM Based XSS) с целью похищения конфиденциальных данных или взлома учетных записей. Для эксплуатации уязвимости жертва должна была пройти по вредоносной ссылке или посетить вредоносную web-страницу, будучи авторизованной в уязвимом сервисе.

Столь большое число затронутых уязвимостью приложений объясняется тем, что изначально она присутствовала в наборе инструментов branch.io, предназначенном для определения, откуда на сайт или в приложение зашел пользователь (с Facebook, Twitter и т.д.). Из branch.io уязвимость перекочевала во множество сервисов и мобильных приложений.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.