Оффлайн
Apollon
Заблокирован
- Регистрация
- 07.09.17
- Сообщения
- 5.309
- Реакции
- 1.010
- Репутация
- 1.625
You must be registered for see images attach
Исследователи безопасности обнаружили серьезную уязвимость, затрагивающую такие сервисы, как Tinder, Yelp, Shopify, Western Union и пр., и ставящую под угрозу сотни миллионов пользователей.
Изначально проблема была обнаружена в ходе аудита кодов сайтов знакомств. Выявив XSS-уязвимость на поддомене Tinder.com, а точнее на go.tinder.com, исследователи сообщили о ней производителям приложений.
Однако, как оказалось, проблема распространялась далеко за пределы сайтов знакомств. Пословамспециалистов из VPNMentor, ныне уже исправленная уязвимость ставила под угрозу порядка 685 млн пользователей. С ее помощью злоумышленники могли осуществить межсайтовый скриптинг через DOM (так называемый DOM Based XSS) с целью похищения конфиденциальных данных или взлома учетных записей. Для эксплуатации уязвимости жертва должна была пройти по вредоносной ссылке или посетить вредоносную web-страницу, будучи авторизованной в уязвимом сервисе.
Столь большое число затронутых уязвимостью приложений объясняется тем, что изначально она присутствовала в наборе инструментов branch.io, предназначенном для определения, откуда на сайт или в приложение зашел пользователь (с Facebook, Twitter и т.д.). Из branch.io уязвимость перекочевала во множество сервисов и мобильных приложений.