branch.io漏洞令6.85亿网民面临跨站攻击

漏洞挖掘人员发现重大安全漏洞，影响Tinder、Yelp、Shopify、西联等主流网站，使用这些站点的数亿用户均受威胁。

研究人员是在挖掘约会网站网页代码时发现的该可利用编程缺陷。在 Tinder.com 的子域名 go.tinder.com 上发现了跨站脚本漏洞后，研究人员向Tinder应用的开发商提交了漏洞报告。

后来发现，他们挖出的这个漏洞不仅仅是约会网站某个子域名的问题。安全公司VPNMentor的研究团队称，该现已修复的安全漏洞曾令多达 6.85亿 网民暴露在跨站脚本攻击(XSS)风险之下，黑客可通过该漏洞盗取数据和劫持账户。登录了受影响服务的用户只要点击了恶意链接或打开了陷阱网页，就可能成为跨站脚本攻击的受害者。

受影响用户数高达9位数是因为该安全问题实际上存在于名为branch.io的 工具 集中。该工具集用于跟踪网站和App用户，确定他们的来路，比如是从Facebook、电子邮件链接、推特还是从别的什么应用点进来的。因为该漏洞埋藏在branch.io的代码中，嵌入到了无数服务和移动应用里，所以可能面临跨站脚本攻击的人数飙升至近 7亿 。

本周早些时候，发现该漏洞的 Ariel Hochstad 解释称：

我们一发现这些漏洞就立即通过负责任披露程序联系了Tinder，并与他们合作共同解决问题。我们了解到该脆弱终端并非Tinder所有，而是属于branch.io——全球很多大公司都会使用的溯源平台。

美国大型评论网站Yelp、电汇公司西联、Shopify和照片分享站点Imgur都在用该脆弱组件。Hochstadt估测受影响网站用户账户数在6.85亿左右。

漏洞本身是个极讨厌的文档对象模型(DOM)跨站脚本表单，能使攻击者透过跨站调用通过基本安全检查。

基于DOM的跨站脚本攻击中，HTML源代码和攻击的响应是一模一样的。也就是说，响应中是找不到恶意攻击载荷的，Chrome XSS Auditor 之类浏览器内置XSS缓解功能很难检测出来。

branch.io号称全球每月用户 超20亿 ，但其发言人对此事没有任何评论。

Hochstadt表示曾私下向branch.io报告过该问题，branch.io也有能力修复该漏洞，而目前尚未发现该漏洞被利用的案例。但用户仍应考虑修改口令，并密切注意自己的账户有没有什么可疑的行为。

跨站脚本漏洞报告地址：

https://www.owasp.org/index.php/Cross_Site_Scripting_Flaw