Koo India, Layanan mirip Twitter, Ditemukan Rentan terhadap Serangan Cacing Kritis

  • Whatsapp
Koo India, Layanan mirip Twitter, Ditemukan Rentan terhadap Serangan Cacing Kritis

Koo, tiruan Twitter homegrown India, baru-baru ini menambal kerentanan keamanan serius yang dapat dieksploitasi untuk mengeksekusi kode JavaScript sewenang-wenang terhadap ratusan ribu penggunanya, menyebarkan serangan ke seluruh platform.

Kerentanan melibatkan cacat skrip lintas situs yang tersimpan (juga dikenal sebagai XSS persisten) di aplikasi web Koo yang memungkinkan skrip berbahaya disematkan langsung ke aplikasi web yang terpengaruh.

Bacaan Lainnya

Untuk melakukan serangan itu, yang harus dilakukan oleh aktor jahat hanyalah masuk ke layanan melalui aplikasi web dan memposting payload yang dikodekan XSS ke timeline-nya, yang secara otomatis dieksekusi atas nama semua pengguna yang melihat postingan tersebut.

Tim Stack Overflow

Masalah ini ditemukan oleh peneliti keamanan Rahul Kankrale pada bulan Juli, setelah itu perbaikan diluncurkan oleh Koo pada 3 Juli.

Menggunakan skrip lintas situs, penyerang dapat melakukan tindakan atas nama pengguna dengan hak istimewa yang sama dengan pengguna dan mencuri rahasia browser web, seperti cookie otentikasi.

Karena fakta bahwa JavaScript berbahaya memiliki akses ke semua objek yang dapat diakses situs web, itu dapat memungkinkan musuh menyelinap ke data sensitif seperti pesan pribadi, atau menyebarkan informasi yang salah, atau menampilkan spam menggunakan profil pengguna.

Hasil akhir dari kerentanan di Koo, juga dikenal sebagai worm XSS, lebih mengkhawatirkan karena secara otomatis menyebarkan kode berbahaya di antara pengunjung situs web untuk menginfeksi pengguna lain—tanpa interaksi pengguna, seperti reaksi berantai.

Koo, yang diluncurkan pada November 2019, menyebut dirinya sebagai alternatif India untuk Twitter dan memiliki 6 juta pengguna aktif di platformnya. Perusahaan yang berbasis di Bengaluru juga telah muncul sebagai layanan media sosial pilihan di Nigeria setelah negara itu tanpa batas waktu melarang Twitter karena menghapus tweet oleh Presiden Nigeria Muhammadu Buhari.

Mencegah Pelanggaran Data

Aprameya Radhakrishna, salah satu pendiri, dan CEO Koo, mengumumkan masuknya aplikasi ke pasar Nigeria awal pekan ini.

Juga ditambal adalah tercermin XSS kerentanan yang terkait dengan fitur tagar, sehingga memungkinkan musuh untuk melewati kode JavaScript berbahaya di titik akhir yang digunakan untuk mencari tagar tertentu (“https://www[.]kooapp[.]com/tag/[hashtag]”).

Pengungkapan ini terjadi sedikit lebih dari sebulan setelah kerentanan serupa terkait XSS ditemukan di browser Edge Microsoft, yang dapat dieksploitasi untuk memicu serangan hanya dengan menambahkan komentar ke video YouTube atau mengirim permintaan pertemanan Facebook dari akun yang berisi non -Konten bahasa Inggris disertai dengan muatan XSS.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *