Confira !
Uma falha de segurança na plataforma do Koo foi descoberta, permitindo que os invasores executassem código JavaScript malicioso contra seus usuários, de acordo com o The Hacker News . Para evitar que o exploit se espalhe, a plataforma corrigiu a vulnerabilidade. Quando o pesquisador de segurança Rahul Kankrale descobriu o problema, Koo respondeu imediatamente lançando um remédio no dia seguinte.
O Koo contém uma vulnerabilidade de script entre sites armazenados (também conhecido como XSS persistente) que permite que scripts maliciosos sejam injetados diretamente no aplicativo da web comprometido. Para iniciar o ataque, cargas úteis codificadas em XSS foram empregadas e qualquer pessoa que encontrasse a mensagem corria perigo.
O script entre sites permite que um invasor execute atividades em nome de usuários que tenham os mesmos privilégios do invasor, enquanto rouba segredos do navegador da Web, como cookies de autenticação do computador da vítima. Como o JavaScript malicioso tem acesso a todos os objetos que um site pode acessar, os invasores podem obter acesso a dados confidenciais, como mensagens privadas, espalhar informações incorretas ou exibir spam usando as identidades dos visitantes do site.
O código malicioso se espalha sem qualquer intervenção
Uma consequência ainda mais preocupante é que a vulnerabilidade Koo espalha automaticamente código malicioso entre os visitantes do site em uma reação em cadeia, sem exigir ação dos próprios usuários infectados.
Com 6 milhões de usuários ativos em seu site, o Koo, que foi lançado em novembro de 2019 e se autodenomina o equivalente indiano do Twitter, rapidamente ganhou popularidade no país. Desde que o governo nigeriano suspendeu o Twitter depois que o presidente tweetou algo inapropriado, a empresa sediada em Bengaluru se tornou a melhor plataforma alternativa de mídia social na Nigéria.
Um problema semelhante que afeta o navegador Edge da Microsoft foi descoberto este mês, e é possível explorá-lo enviando um pedido de amizade ou fazendo um comentário em um vídeo do YouTube usando uma carga XSS. Essas vulnerabilidades foram desenvolvidas especificamente para atacar o navegador Microsoft Edge.
Até a próxima !!
Nenhum comentário:
Postar um comentário