Branch.io漏洞將Tinder,Shopify,Yelp用戶暴露於XSS攻擊下

更多全球網路安全資訊盡在E安全官網www.easyaq.com

10月15日訊，Tinder，Shopify,Yelp等其他各平台使用的Branch.io服務存在漏洞，用戶或已受跨站點腳本(XSS)攻擊。

當vpnMentor研究人員發現Tinder域名：go.tinder.com，存在多個XSS漏洞，他們正在分析Tinder和其它各約會應用。

據vpnMentor稱，黑客本可以利用這些漏洞來盜取Tinder用戶的個人資料。不過，值得指出的是，利用XSS漏洞通常需要目標用戶點擊精心製作的惡意鏈接。

獲知漏洞信息後，Tinder安全團隊開展調查，發現「go.tinder.com」 域實為 「custom.bnc.lt」的別名，一個Branch.io資源。

Branch.io公司總部位於加利福尼亞，其方案為各公司創建推薦系統的深度鏈接，和用於溯源及分析目的的邀請、分享鏈接。

vpnMentor表示，受感染的Branch.io資源也被Yelp,Western Union, Shopify,RobinHood, Letgo, imgur, Lookout, fair.com及Cuvva等其他大公司所使用。

該VPN公司研究人員預計：這些漏洞影響用戶數已高達68500萬，這些用戶都使用了該受感染的服務。

雖漏洞已修復，也無證據顯示漏洞遭惡意利用，但預防起見，vpnMentor仍建議用戶更改密碼。

關於該漏洞，專家表示，由於Branch.io未能應用內容安全政策（CSP），基於DOM的XSS在許多瀏覽器本就易遭黑客利用。

vpnMentor在一篇博客文章中寫道，「在基於DOM的XSS這類攻擊中，攻擊載荷的執行導致在受害者瀏覽器DOM環境的修改，且更多的時候是在動態環境下。在基於DOM的XSS中，HTML源代碼與攻擊應答完全一致。也就是說，無法在攻擊應答中發現惡意載荷，這給那些內置了緩解XSS特性的瀏覽器像Chrome』sXSS Auditor的執行增加了許多難度。」

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！