Уязвимость в Feedly позволяет осуществлять JavaScript инъекции

JavaScript инъекции позволяют изменять или прочитывать файлы cookie, временно изменять контент web-страниц, изменять web-формы и пр.

Критическая уязвимость в Android-приложении Feedly стала причиной осуществления JavaScript инъекций на миллионах устройств. Об этом сообщает эксперт по ИБ Джереми С. (Jeremy S.).

Feedly является весьма популярным приложением, которое позволяет пользователям просматривать контент из блогов, журналов, web-сайтов и других ресурсов посредством размещения его в RSS-подписке. Известно, что программу скачало свыше 5 миллионов пользователей только из Google Play Store.

Согласно данным специалиста, Feedly уязвим к атакам с JavaScript инъекциями. Он также продемонстрировал, что уязвимость позволяет злоумышленнику удаленно выполнить код JavaScript приложения на устройстве. То есть, если пользователь просматривает какую-то статью через Feedly, содержащее вредоносный код, он автоматически предоставляет возможность осуществления JavaScript инъекции.

Эксперт подчеркивает, что подобное действие злоумышленник может выполнить только в том случае, если контент просматривается в качестве RSS-подписки на ресурс.

Стоит отметить, что JavaScript инъекции позволяют изменять или прочитывать файлы cookie, временно изменять контент web-страниц, изменять web-формы и пр.