Indická spoločnosť Koo, a Twitter-ako služba, nájdená zraniteľná voči útokom kritických červov

Koo, domáci indický Twitter klon, nedávno opravil závažnú bezpečnostnú chybu, ktorú bolo možné zneužiť na spustenie ľubovoľného kódu JavaScript proti stovkám tisícov používateľov, čím sa útok rozšíril po celej platforme.

Zraniteľnosť zahŕňa uloženú chybu skriptovania medzi stránkami (známu aj ako perzistentné XSS) vo webovej aplikácii Koo, ktorá umožňuje vkladanie škodlivých skriptov priamo do ovplyvnenej webovej aplikácie.

Na vykonanie útoku sa záškodnícka osoba musela prihlásiť do služby prostredníctvom webovej aplikácie a na jej časovej osi uverejniť obsah kódovaný XSS, ktorý sa automaticky spustí v mene všetkých používateľov, ktorí príspevok videli.

Problém objavil bezpečnostný výskumník Rahul Kankrale v júli, po čom spoločnosť Koo v júli zaviedla opravu. 3.

Pomocou skriptovania medzi lokalitami môže útočník vykonávať akcie v mene používateľov s rovnakými oprávneniami ako používateľ a ukradnúť tajomstvá webového prehliadača, ako sú napríklad súbory cookie na overenie.

Vzhľadom na to, že škodlivý JavaScript má prístup ku všetkým objektom, ku ktorým má webová stránka prístup, mohol by protivníkom umožniť preniknúť k citlivým údajom, ako sú súkromné ​​správy, šíriť dezinformácie alebo zobrazovať spam pomocou používateľských profilov.

Konečný výsledok tejto zraniteľnosti v Koo, tiež známy ako XSS červ, je znepokojivejší, pretože automaticky šíri škodlivý kód medzi návštevníkmi webovej stránky, aby infikoval ostatných používateľov – bez akejkoľvek interakcie používateľa, ako je reťazová reakcia.

Koo, ktorý bol spustený v novembri 2019, sa považuje za indickú alternatívu Twitter a chváli sa 6 miliónov aktívnych používateľov na svojej platforme. Spoločnosť so sídlom v Bengaluru sa tiež objavila ako obľúbená služba sociálnych médií v Nigérii po tom, čo bola krajina na dobu neurčitú zakázaná. Twitter za vymazanie tweetu nigérijského prezidenta Muhammadu Buhariho.

Aprameya Radhakrishna, spoluzakladateľ a výkonný riaditeľ spoločnosti Koo, začiatkom tohto týždňa oznámil vstup aplikácie na nigérijský trh.

Opravená bola aj odrazená zraniteľnosť XSS spojená s funkciou hashtag, čo umožnilo protivníkovi odovzdať škodlivý kód JavaScript v koncovom bode používanom na vyhľadávanie konkrétneho hashtagu („https://www[.]kooapp[.]com/tag/[hashtag]”).

Opravy nasledujú po ďalšej kritickej zraniteľnosti v aplikácii Koo, ktorá bola opravená začiatkom februára tohto roku, čo mohlo útočníkom umožniť získať prístup k akémukoľvek používateľskému účtu na platforme bez toho, aby vyžadovali heslo alebo interakciu používateľa.

Objavil to Prasoon Gupta, nezávislý bezpečnostný výskumník. V rozhovore pre The Hacker News Prasoon vysvetlil, že zraniteľnosť vzniká v dôsledku spôsobu, akým aplikácia overuje prístupové tokeny, keď je používateľ overený pomocou telefónneho čísla a zaslaného jednorazového hesla (OTP).

Zverejnenie prichádza niečo vyše mesiaca po tom, čo boli v prehliadači Edge od Microsoftu odhalené podobné zraniteľnosti súvisiace s XSS, ktoré možno zneužiť na spustenie útoku jednoduchým pridaním komentára do YouTube video alebo odoslanie a Facebook žiadosť o priateľstvo z účtu, ktorý obsahuje obsah v inom ako anglickom jazyku spolu s užitočným zaťažením XSS.