投稿

2月, 2020の投稿を表示しています

Feedeenの脆弱性を修正しました

イメージ
いつもFeedeenのご利用ありがとうございます。運営者の伊藤です。

昨晩(2/13未明)、ユーザーの方からご報告いただいた脆弱性に対する修正を適用しましたので、ご報告いたします。データの漏洩などに直結するものではありませんが、フィッシング等に利用できる状態でしたので、念のためご確認ください。

脆弱性の内容 実際に脆弱性を検証した動画がありますので、まずはこれをご覧ください。



少しわかりにくいかもしれませんが、フィードアイテムのリンク先を開いたことで、Feedeenを表示していたタブが別のページに変わっています。このように、リンク先のページからFeedeen側のタブを遷移させることができる、というのが本脆弱性の内容となります。可能な操作はページ遷移のみで、Feedeen側の表示内容を取得・操作するようなことはできません。

脆弱性の影響 本脆弱性を利用した攻撃として考えられるのは、フィッシングです。ユーザーが気付きにくい方法で攻撃者のサイトに誘導し、まだFeedeen上にいると思っているユーザーに情報入力を促すというものです。誰が、どんなフィードリーダーで読むかもわからないRSSフィードでフィッシングを行うのはかなり難しいはずですが、ありえないとは言い切れません。

万が一、フィードアイテムのリンク先を表示した後にFeedeenのタブが遷移しており、遷移先でなんらかの機微な情報を入力していた場合は、たいへん恐縮ですが情報の変更などの対処をお願いいたします。


今回は私の考慮不足でユーザーの皆さまを危険に晒してしまい、たいへん申し訳ございません。これまで以上に気を引き締めてセキュリティを重視した実装を心がけてまいりますので、今後ともFeedeenをよろしくお願いいたします。