Бесплатно Экспресс-аудит сайта:

22.04.2014

Уязвимость в Feedly позволяет осуществлять XSS-нападение

Уязвимость в Android-приложении Feedly стала причиной осуществления XSS-нападения на миллионы устройств. Об этом сообщает эксперт по ИБ Джереми С. (Jeremy S.).

Feedly является весьма популярным приложением, которое позволяет пользователям просматривать контент из блогов, журналов, web-сайтов и других ресурсов посредством размещения его в RSS-подписке. Известно, что программу скачало свыше 5 миллионов пользователей только из Google Play Store.

Согласно данным специалиста, Feedly уязвим к внедрению JavaScript сценариев . Он также продемонстрировал, что уязвимость позволяет злоумышленнику удаленно выполнить код JavaScript приложения на устройстве. То есть, если пользователь просматривает какую-то статью через Feedly, содержащее вредоносный код, он автоматически предоставляет возможность осуществления XSS-нападения.

Эксперт подчеркивает, что подобное действие злоумышленник может выполнить только в том случае, если контент просматривается в качестве RSS-подписки на ресурс.

Стоит отметить, что XSS-нападения позволяют изменять или прочитывать файлы cookie, временно изменять контент web-страниц, изменять web-формы и пр.