由于Tinder,Shopify,Yelp和许多其他人使用的服务Branch.io中存在漏洞,数以亿计的用户可能已经接触到跨站点脚本(XSS)攻击。
vpnMentor的研究人员在分析Tinder和其他应用程序时,发现了一个Tinder域go.tinder.com,它有多个XSS漏洞。vpnMentor表示,这些漏洞可能会被用来访问Tinder用户的个人资料。不过在大多数情况下,利用XSS缺陷需要目标点击一个特别制作的链接。
在收到漏洞通知后,Tinder的安全团队即启动调查,并确定了go.tinder.com域实际上是Branch.io资源custom.bnc.lt 的别名。
Branch.io是一家位于加利福尼亚州的公司,其解决方案为企业等各类组织提供分析帮助,为其推荐系统,创建深层链接等。另外,还有几家大公司由于使用Branch.io资源有相同的攻击端点,比如Yelp,Western Union,Shopify,RobinHood,Letgo,imgur,Lookout,fair.com和Cuvva。
这家VPN公司的研究人员估计,这些漏洞可能已经影响了使用相关服务的6.85亿人。虽然安全漏洞已被修补,也没有出现用户资料被恶意利用的证据,但vpnMentor仍然认为用户应该更改其密码作为预防措施。专家表示,由于Branch.io未能使用内容安全策略(CSP),因此很容易在许多Web浏览器中利用基于DOM的XSS漏洞。
“[基于DOM的XSS]是一种攻击,其中攻击有效负载是在受害者浏览器中修改DOM环境的结果,在动态环境中更是如此,”vpnMentor在博客文章中说。“在基于DOM的XSS中,HTML源代码和攻击响应将完全相同。这意味着无法在响应中找到恶意负载,这使得浏览器内置的XSS缓解功能(如Chrome的XSS Auditor)难以执行。”
尽管漏洞已经修复,研究人员仍然建议近期使用过Tinder或任何其他受影响的网站的用户及时更改密码提升安全性。