Из инструмента branch.io для разработчиков уязвимость перекочевала во множество сервисов и приложений.
Исследователи безопасности обнаружили серьезную уязвимость, затрагивающую такие сервисы, как Tinder, Yelp, Shopify, Western Union и пр., и ставящую под угрозу сотни миллионов пользователей.
Изначально проблема была обнаружена в ходе аудита кодов сайтов знакомств. Выявив XSS-уязвимость на поддомене Tinder.com, а точнее на go.tinder.com, исследователи сообщили о ней производителям приложений.
Однако, как оказалось, проблема распространялась далеко за пределы сайтов знакомств. По специалистов из VPNMentor, ныне уже исправленная уязвимость ставила под угрозу порядка 685 млн пользователей. С ее помощью злоумышленники могли осуществить межсайтовый скриптинг через DOM (так называемый DOM Based XSS) с целью похищения конфиденциальных данных или взлома учетных записей. Для эксплуатации уязвимости жертва должна была пройти по вредоносной ссылке или посетить вредоносную web-страницу, будучи авторизованной в уязвимом сервисе.
Столь большое число затронутых уязвимостью приложений объясняется тем, что изначально она присутствовала в наборе инструментов branch.io, предназначенном для определения, откуда на сайт или в приложение зашел пользователь (с Facebook, Twitter и т.д.). Из branch.io уязвимость перекочевала во множество сервисов и мобильных приложений.
Исследователи безопасности обнаружили серьезную уязвимость, затрагивающую такие сервисы, как Tinder, Yelp, Shopify, Western Union и пр., и ставящую под угрозу сотни миллионов пользователей.
Изначально проблема была обнаружена в ходе аудита кодов сайтов знакомств. Выявив XSS-уязвимость на поддомене Tinder.com, а точнее на go.tinder.com, исследователи сообщили о ней производителям приложений.
Однако, как оказалось, проблема распространялась далеко за пределы сайтов знакомств. По специалистов из VPNMentor, ныне уже исправленная уязвимость ставила под угрозу порядка 685 млн пользователей. С ее помощью злоумышленники могли осуществить межсайтовый скриптинг через DOM (так называемый DOM Based XSS) с целью похищения конфиденциальных данных или взлома учетных записей. Для эксплуатации уязвимости жертва должна была пройти по вредоносной ссылке или посетить вредоносную web-страницу, будучи авторизованной в уязвимом сервисе.
Столь большое число затронутых уязвимостью приложений объясняется тем, что изначально она присутствовала в наборе инструментов branch.io, предназначенном для определения, откуда на сайт или в приложение зашел пользователь (с Facebook, Twitter и т.д.). Из branch.io уязвимость перекочевала во множество сервисов и мобильных приложений.
