バグハンターたちは、Tinder、Yelp、Shopify、Western Union など、そしてこれらのサイトやアプリを使用する何億人ものユーザーに影響を与える可能性のある重大なセキュリティ上の欠陥をどのようにして発見したかを語った。
ソフトウェアスニファーたちは、出会い系サイトのウェブページのコードを精査していた際に、この悪用可能なプログラミングミスに初めて遭遇したと述べています。Tinder.comのサブドメイン(具体的にはgo.tinder.com)にクロスサイトスクリプティングの脆弱性を発見した後、彼らは出会い系アプリの開発元に連絡を取り、バグレポートを提出しました。
結局、彼らが発見した脆弱性は、孤独な人々のためのサイトの1つのサブドメインをはるかに超えるものでした。VPNMentorのチームによると、その後修正されたこのセキュリティホールによって、最大6億8500万人ものネットユーザーがクロスサイトスクリプティング攻撃の危険にさらされていました。クロスサイトスクリプティング攻撃とは、ハッカーがデータの窃盗やアカウントの乗っ取りを試みる攻撃です。このスクリプティング攻撃を実行するには、被害者が脆弱なサービスにログインした状態で悪意のあるリンクをクリックするか、仕掛けられたウェブページを開く必要があります。
この驚異的な9桁の数字は、セキュリティ問題が実際にはbranch.ioと呼ばれるツールキット内にあったためだ。branch.ioは、ウェブサイトやアプリのユーザーを追跡し、Facebook、メールリンク、Twitterなど、どこから来たのかを突き止めるツールキットだ。branch.ioのコードにバグが潜んでおり、多数のサービスやモバイルアプリケーションに埋め込まれていたため、クロスサイトスクリプティングによるハッキングの危険にさらされる可能性のある人の数は5億人を超えたと伝えられている。
「これらの脆弱性を発見した直後、Tinderの責任ある開示プログラムを通じて連絡を取り、協力を開始しました」と、バグストーカーの一人であるアリエル・ホッホシュタット氏は今週初めに説明した。「脆弱なエンドポイントはTinderではなく、世界中の多くの大企業が利用するアトリビューションプラットフォームであるbranch.ioが所有していることがわかりました。」
XSSで封印:IT専門家がロイズグループにウェブクロストークを避けるよう要請
続きを読む
脆弱なコンポーネントを使用していることが判明したサイトには、レビューサイトのYelp、送金代行会社のWestern Union、Shopify、写真共有サイトのImgurなどが含まれているとされています。Hochstadt氏は、これらのサイトが合計で約6億8500万のユーザーアカウントを扱っていると推定しています。
このバグ自体は、DOMクロスサイトスクリプティングの中でも特に悪質な形態であり、攻撃者はクロスサイト呼び出しを基本的なセキュリティチェックをすり抜けることができた。「DOMベースのXSSでは、攻撃のHTMLソースコードとレスポンスは全く同じものになります」とホッホシュタット氏は述べた。「つまり、レスポンス内に悪意のあるペイロードが見つからないため、ChromeのXSS監査機能のようなブラウザに組み込まれたXSS軽減機能による処理が非常に困難になります。」
「全世界で月間20億人以上のユーザー」を誇るbranch.ioの広報担当者は、この件についてコメントできなかった。
Hochstadt氏は、この問題をbranch.ioに非公開で報告したと述べ、branch.ioはパッチを適用できたと伝えられており、この脆弱性が実際に悪用された兆候は見られなかった。それでもHochstadt氏は、ユーザーはパスワードの変更を検討し、アカウントに不審なアクティビティがないか注意深く監視する必要があると考えている。®
