Branch.io漏洞将Tinder,Shopify,Yelp用户暴露于XSS攻击下

更多全球网络安全资讯尽在E安全官网www.easyaq.com

10月15日讯，Tinder，Shopify,Yelp等其他各平台使用的Branch.io服务存在漏洞，用户或已受跨站点脚本(XSS)攻击。

当vpnMentor研究人员发现Tinder域名：go.tinder.com，存在多个XSS漏洞，他们正在分析Tinder和其它各约会应用。

据vpnMentor称，黑客本可以利用这些漏洞来盗取Tinder用户的个人资料。不过，值得指出的是，利用XSS漏洞通常需要目标用户点击精心制作的恶意链接。

获知漏洞信息后，Tinder安全团队开展调查，发现“go.tinder.com” 域实为 “custom.bnc.lt”的别名，一个Branch.io资源。

Branch.io公司总部位于加利福尼亚，其方案为各公司创建推荐系统的深度链接，和用于溯源及分析目的的邀请、分享链接。

vpnMentor表示，受感染的Branch.io资源也被Yelp,Western Union, Shopify,RobinHood, Letgo, imgur, Lookout, fair.com及Cuvva等其他大公司所使用。

该VPN公司研究人员预计：这些漏洞影响用户数已高达68500万，这些用户都使用了该受感染的服务。

虽漏洞已修复，也无证据显示漏洞遭恶意利用，但预防起见，vpnMentor仍建议用户更改密码。

关于该漏洞，专家表示，由于Branch.io未能应用内容安全政策（CSP），基于DOM的XSS在许多浏览器本就易遭黑客利用。

vpnMentor在一篇博客文章中写道，“在基于DOM的XSS这类攻击中，攻击载荷的执行导致在受害者浏览器DOM环境的修改，且更多的时候是在动态环境下。在基于DOM的XSS中，HTML源代码与攻击应答完全一致。也就是说，无法在攻击应答中发现恶意载荷，这给那些内置了缓解XSS特性的浏览器像Chrome’sXSS Auditor的执行增加了许多难度。”