Koo App

Koo, le clone de Twitter en Inde, a récemment corrigé une grave faille de sécurité qui aurait pu être exploitée pour exécuter du code JavaScript arbitraire contre des centaines de milliers de ses utilisateurs, propageant l’attaque sur la plate-forme.

La vulnérabilité implique un défaut de script intersites stocké (également connu sous le nom de XSS persistant) dans l’application Web de Koo qui permet d’intégrer des scripts malveillants directement dans l’application Web affectée.

Pour mener à bien l’attaque, tout ce qu’un acteur malveillant avait à faire était de se connecter au service via l’application Web et de publier une charge utile encodée XSS sur sa chronologie, qui est automatiquement exécutée au nom de tous les utilisateurs qui ont vu la publication.

Équipes De Débordement De Pile

Le problème a été découvert par un chercheur en sécurité Rahul Kankrale en juillet, après quoi un correctif a été déployé par Koo le 3 juillet.

À l’aide de scripts intersites, un attaquant peut effectuer des actions pour le compte d’utilisateurs disposant des mêmes privilèges que l’utilisateur et voler les secrets du navigateur Web, tels que les cookies d’authentification.

Publicité

En raison du fait que JavaScript malveillant a accès à tous les objets auxquels le site Web peut accéder, cela pourrait permettre à des adversaires de se faufiler dans des données sensibles telles que des messages privés, ou de diffuser des informations erronées ou d’afficher du spam en utilisant les profils des utilisateurs.

YouTube video

Le résultat final de cette vulnérabilité dans Koo, également connu sous le nom de ver XSS, est plus inquiétant car il propage automatiquement un code malveillant parmi les visiteurs d’un site Web pour infecter d’autres utilisateurs, sans aucune interaction de l’utilisateur, comme une réaction en chaîne.

Koo, qui a été lancé en novembre 2019, se présente comme une alternative indienne à Twitter et compte 6 millions d’utilisateurs actifs sur sa plateforme. La société basée à Bengaluru est également devenue le service de médias sociaux de choix au Nigeria après que le pays a indéfiniment interdit Twitter pour avoir supprimé un tweet du président nigérian Muhammadu Buhari.

Gestion Des Mots De Passe D'Entreprise

Aprameya Radhakrishna, co-fondateur et PDG de Koo, a annoncé l’entrée de l’application sur le marché nigérian plus tôt cette semaine.

Également patché était un XSS reflété vulnérabilité associée à la fonctionnalité hashtag, permettant ainsi à un adversaire de transmettre du code JavaScript malveillant dans le point de terminaison utilisé pour rechercher un hashtag spécifique (« https://www[.]kooapp[.]com/tag/).

La divulgation intervient un peu plus d’un mois après que des vulnérabilités similaires liées au XSS ont été découvertes dans le navigateur Edge de Microsoft, qui peuvent être exploitées pour déclencher une attaque simplement en ajoutant un commentaire à une vidéo YouTube ou en envoyant une demande d’ami Facebook à partir d’un compte qui contient non -Contenu en anglais accompagné d’une charge utile XSS.


Rate this post
Publicité
Article précédentJuJutsu Kaisen lance une énorme vente de mangas numériques
Article suivantRésultat EuroMillions | EN DIRECT : Tirage au sort Euromillions et Thunderball et résultats du mardi 20 juillet 2021 | euromillions fdj
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici