branch.io漏洞令6.85億網民面臨跨站攻擊
責編:gltian |2018-10-15 13:46:08漏洞挖掘人員發現重大安全漏洞,影響Tinder、Yelp、Shopify、西聯等主流網站,使用這些站點的數億用戶均受威脅。
研究人員是在挖掘約會網站網頁代碼時發現的該可利用編程缺陷。在Tinder.com的子域名go.tinder.com上發現了跨站腳本漏洞后,研究人員向Tinder應用的開發商提交了漏洞報告。
后來發現,他們挖出的這個漏洞不僅僅是約會網站某個子域名的問題。安全公司VPNMentor的研究團隊稱,該現已修復的安全漏洞曾令多達6.85億網民暴露在跨站腳本攻擊(XSS)風險之下,黑客可通過該漏洞盜取數據和劫持賬戶。登錄了受影響服務的用戶只要點擊了惡意鏈接或打開了陷阱網頁,就可能成為跨站腳本攻擊的受害者。
受影響用戶數高達9位數是因為該安全問題實際上存在于名為branch.io的工具集中。該工具集用于跟蹤網站和App用戶,確定他們的來路,比如是從Facebook、電子郵件鏈接、推特還是從別的什么應用點進來的。因為該漏洞埋藏在branch.io的代碼中,嵌入到了無數服務和移動應用里,所以可能面臨跨站腳本攻擊的人數飆升至近7億。
本周早些時候,發現該漏洞的 Ariel Hochstad 解釋稱:
我們一發現這些漏洞就立即通過負責任披露程序聯系了Tinder,并與他們合作共同解決問題。我們了解到該脆弱終端并非Tinder所有,而是屬于branch.io——全球很多大公司都會使用的溯源平臺。
美國大型評論網站Yelp、電匯公司西聯、Shopify和照片分享站點Imgur都在用該脆弱組件。Hochstadt估測受影響網站用戶賬戶數在6.85億左右。
漏洞本身是個極討厭的文檔對象模型(DOM)跨站腳本表單,能使攻擊者透過跨站調用通過基本安全檢查。
基于DOM的跨站腳本攻擊中,HTML源代碼和攻擊的響應是一模一樣的。也就是說,響應中是找不到惡意攻擊載荷的,Chrome XSS Auditor 之類瀏覽器內置XSS緩解功能很難檢測出來。
branch.io號稱全球每月用戶超20億,但其發言人對此事沒有任何評論。
Hochstadt表示曾私下向branch.io報告過該問題,branch.io也有能力修復該漏洞,而目前尚未發現該漏洞被利用的案例。但用戶仍應考慮修改口令,并密切注意自己的賬戶有沒有什么可疑的行為。
跨站腳本漏洞報告地址:
https://www.owasp.org/index.php/Cross_Site_Scripting_Flaw