branch.io漏洞令6.85亿网民面临跨站攻击

来源:安全牛2019.06.20

漏洞挖掘人员发现重大安全漏洞,影响Tinder、Yelp、Shopify、西联等主流网站,使用这些站点的数亿用户均受威胁。

 

研究人员是在挖掘约会网站网页代码时发现的该可利用编程缺陷。在 Tinder.com 的子域名 go.tinder.com 上发现了跨站脚本漏洞后,研究人员向Tinder应用的开发商提交了漏洞报告。

后来发现,他们挖出的这个漏洞不仅仅是约会网站某个子域名的问题。安全公司VPNMentor的研究团队称,该现已修复的安全漏洞曾令多达6.85亿网民暴露在跨站脚本攻击(XSS)风险之下,黑客可通过该漏洞盗取数据和劫持账户。登录了受影响服务的用户只要点击了恶意链接或打开了陷阱网页,就可能成为跨站脚本攻击的受害者。

受影响用户数高达9位数是因为该安全问题实际上存在于名为branch.io的工具集中。该工具集用于跟踪网站和App用户,确定他们的来路,比如是从Facebook、电子邮件链接、推特还是从别的什么应用点进来的。因为该漏洞埋藏在branch.io的代码中,嵌入到了无数服务和移动应用里,所以可能面临跨站脚本攻击的人数飙升至近7亿

本周早些时候,发现该漏洞的 Ariel Hochstad 解释称:

我们一发现这些漏洞就立即通过负责任披露程序联系了Tinder,并与他们合作共同解决问题。我们了解到该脆弱终端并非Tinder所有,而是属于branch.io——全球很多大公司都会使用的溯源平台。

美国大型评论网站Yelp、电汇公司西联、Shopify和照片分享站点Imgur都在用该脆弱组件。Hochstadt估测受影响网站用户账户数在6.85亿左右。

漏洞本身是个极讨厌的文档对象模型(DOM)跨站脚本表单,能使攻击者透过跨站调用通过基本安全检查。

基于DOM的跨站脚本攻击中,HTML源代码和攻击的响应是一模一样的。也就是说,响应中是找不到恶意攻击载荷的,Chrome XSS Auditor 之类浏览器内置XSS缓解功能很难检测出来。

branch.io号称全球每月用户超20亿,但其发言人对此事没有任何评论。

Hochstadt表示曾私下向branch.io报告过该问题,branch.io也有能力修复该漏洞,而目前尚未发现该漏洞被利用的案例。但用户仍应考虑修改口令,并密切注意自己的账户有没有什么可疑的行为。

热门文章

  • 七一将临,过去几周网络黑客攻击暴增30%

    在建党100周年来临之际,创宇盾将为包括党、政、军、事业单位、教育、医疗等重点客户提供免费网络安全保障服务。

  • FBI 向托管 Cyclops Blink 恶意软件的僵尸网络服务器发起了行动

    美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。

  • Meta 在新报告中提及黑客组织发布虚假的“乌克兰军队投降”信息

    根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。

关注知道创宇云安全

获取安全动态