CVE-2019-12.329 er en adresselinje spoofing sårbarhed i DuckDuckGo browser til Android-version 5.26.0. Browseren har mere end 5 million installationer, og dens brugere er udsat til URL spoofing angreb.
Sårbarheden blev opdaget af sikkerhedsekspert Dhiraj Mishra, der rapporterede det til DuckDuckGo sikkerhed hold via deres bug bounty program hostes på HackerOne.
Hvordan virker CVE-2019-12.329 Arbejde?
Ifølge forskerens proof-of-concept, bug værker af spoofing DuckDuckGo privatliv browserens Omnibar. Den udnytter værker ved hjælp af en særligt udformet JavaScript side som udnytter setInterval funktion, nødvendig for at genindlæse en URL hver 10 til 50 Frk.
Sårbarheden kan udnyttes i URL spoofing angreb, hvor den webadresse, der vises i adresselinjen er ændret til at narre brugere til at tro på hjemmesiden de besøger er legitimt og ikke controlleren ved angribere.
Sandheden er, at hjemmesiden er faktisk hacker-kontrollerede. En lignende sårbarhed blev opdaget tidligere i maj i UC Browser til Android. Sikkerhed forsker Arif Khan opdaget ”en URL-adresse Bar spoofing sårbarhed i den nyeste version af UC Browser 12.11.2.1184 og UC Browser Mini 12.10.1.1192 der har over 500mn og 100mn installerer hver henholdsvis, som pr PlayStore".
UC browser sårbarhed alsoenables angribere at maskerade deres phishing domæner som hjemmesiden de er rettet mod, dermed optræder troværdigt til brugere. Hvordan virker det? Den blogspot.com domæne kan foregive at være facebook.com, Khan forklarede, ved at narre brugeren til at besøge www.google.com.blogspot.com/?q = www.facebook.com.
“] URL-adresse Bar spoofing sårbarhed i UC Browser Venstre Unpatched.
Mere om DuckDuckGo
DuckDuckGo er en Internet privatliv selskab, der giver brugerne mulighed for at problemfrit at tage kontrol over deres personlige oplysninger online, uden kompromiser. annonceret som “den søgemaskine, der sporer ikke dig”, virksomheden har startet en bug bounty program hostet på HackerOne platformen. Det skal bemærkes, at selskabet ikke tilbyder økonomisk erstatning for fejlrapporter:
Vi er ikke at tilbyde monetære dusører på dette tidspunkt, dog, Vi ville elske at sende dig nogle tyvekoster for gyldige indsendelser.
Det er underligt at bemærke DuckDuckGo sårbarhed blev også forelagt HackerOne i oktober 31 2018. Ved første, spørgsmålet blev markeret som høj i sværhedsgrad, og som deles af forskeren i en samtale med BleepingComputer, diskussionen gik til maj 27 år. Det er, når virksomhedens sikkerhed konkluderede, at sårbarheden er ikke et alvorligt problem, og markeret den som informativ. Forskeren blev belønnet en tyvekoster.