На прошлой неделе специалисты компании VPNMentor рассказали о том, что когда они изучали безопасность Tinder и других сервисов для знакомств, то обнаружили, что поддомен go.tinder.com уязвим перед XSS-атаками. Это находка навела исследователей на след куда более крупной проблемы, затрагивающей такие компании и сервисы, как Yelp, Western Union, Shopify, RobinHood, Letgo, imgur, Lookout, fair.com, Cuvva и так далее.

Как оказалось, настоящий корень многочисленных XSS-проблем лежал в аналитическом наборе инструментов branch.io, созданным одноименной канадской фирмой. Данный тулкит используется множеством компаний по всему миру для наблюдения за поведением пользователей своих сайтов и приложений. К примеру, branch.io помогает узнать, откуда пользователь пришел на сайт (из социальной сети, из ссылки в письме и так далее).

За прошедшее время канадские разработчики успели устранить обнаруженный исследователями баг, однако, ИБ-специалисты компании Detectify заметили, что вышедший патч непросто неэффективен, но создал новую XSS-уязвимость (в материале название уязвимого решения не раскрывается, вместо этого используется абстрактное «SaaS-вендор»).

Хуже того, специалисты пишут, что для эксплуатации бага и можно было использовать их старый пейлоад для проблемы, обнаруженной еще несколько месяцев тому назад и, казалось бы, тоже исправленной. В итоге аналитикам Detectify удалось без труда создать новый работающий эксплоит для Safari (для macOS и iOS), после чего они поспешили уведомить о новой уязвимости крупные сайты и сервисы, использующие branch.io, а также самих разработчиков.

Хотя создатели Branch.io выпустили еще одно исправление, специалисты Detectify пишут, что проблема все равно не решена до конца. Исследователи объясняют, что для окончательного устранения бага, нужно добавить ‘ ‘ и  ‘:’ в черный список параметров редиректа, с которым сверяется branch.io, так как в настоящее время бага проблемы кроется именно там.