Уязвимость в Android-приложении Feedly стала причиной осуществления XSS-нападения на миллионы устройств. Об этом сообщает эксперт по ИБ Джереми С. (Jeremy S.). Feedly является весьма популярным приложением, которое позволяет пользователям просматривать контент из блогов, журналов, web-сайтов и других ресурсов посредством размещения его в RSS-подписке. Известно, что программу скачало свыше 5 млн. пользователей только из Google Play Store.
Согласно данным специалиста, Feedly уязвим к внедрению JavaScript сценариев . Он также продемонстрировал, что уязвимость позволяет злоумышленнику удаленно выполнить код JavaScript приложения на устройстве. То есть, если пользователь просматривает какую-то статью через Feedly, содержащее вредоносный код, он автоматически предоставляет возможность осуществления XSS-нападения. Эксперт подчеркивает, что подобное действие злоумышленник может выполнить только в том случае, если контент просматривается в качестве RSS-подписки на ресурс. Стоит отметить, что XSS-нападения позволяют изменять или прочитывать файлы cookie, временно изменять контент web-страниц, изменять web-формы и пр. (Feedly/NovostIT)
