CVE-2019-12329 ist eine Adressleiste Spoofing-Schwachstelle im DuckDuckGo-Browser für Android-Version 5.26.0. Der Browser verfügt über mehr als 5 Millionen Installationen, und seine Nutzer ausgesetzt sind, Spoofing-Angriffe URL.
Die Sicherheitslücke wurde von Sicherheitsforscher Dhiraj Mishra entdeckt, die es DuckDuckGo Sicherheitsteam über ihre Bug Bounty Programm berichtet gehostet HackerOne.
Wie funktioniert CVE-2.019-12.329 Arbeit?
Nach dem Proof-of-Concept des Forschers, die Fehler Werke von DuckDuckGo des Spoofing Omnibar Privatsphäre Browser. Der Exploit funktioniert mit Hilfe einer speziell gestalteten JavaScript-Seite, die die setInterval-Funktion nutzt, benötigt, um eine URL jedes neu zu laden 10 zu 50 Frau.
Die Sicherheitsanfälligkeit kann in URL-Spoofing-Angriffen ausgenutzt werden, wenn die URL in der Adressleiste angezeigt geändert wird, um Benutzer dazu verleiten, die Website zu glauben, sie besuchen legitim ist und die Steuerung nicht von Angreifern.
Die Wahrheit ist, dass die Website ist in der Tat Hacker gesteuert. Eine ähnliche Sicherheitslücke wurde früher im Mai in UC-Browser für Android entdeckt. Der Sicherheitsforscher Arif Khan entdeckt „eine URL Adressleisten-Spoofing-Schwachstelle in der aktuellen Version des UC Browser 12.11.2.1184 und UC Browser Mini 12.10.1.1192 haben über die 500 Mio. und 100 Mio. installiert die jeweils, wie pro Plays".
Die Sicherheitsanfälligkeit UC Browser alsoenables Angreifer ihre Phishing-Domains wie die Website Maskerade sie Targeting werden, so erscheinen, vertrauenswürdig Benutzer. Wie funktioniert das? Die blogspot.com Domain kann so tun, als facebook.com zu sein, Khan erklärt, durch den Benutzer trickst www.google.com.blogspot.com/ zu besuchen?q = www.facebook.com.
“] URL Adressleisten-Spoofing Vulnerability in UC Browser Left ungepatchten.
Mehr über DuckDuckGo
DuckDuckGo ist ein Internet-Datenschutz Unternehmen, das Benutzern ermöglicht die nahtlose Kontrolle über ihre persönlichen Daten zu nehmen Online, ohne Kompromisse. Ausgeschrieben als “die Suchmaschine, die Sie nicht verfolgen”, das Unternehmen hat eine Bug Bounty Programm gestartet auf der HackerOne Plattform gehostet. Es sei darauf hingewiesen, dass das Unternehmen nicht monetäre Entschädigung für Bugreports anbietet:
Wir bieten nicht monetäre Bounties zu diesem Zeitpunkt, jedoch, wir würden gerne Ihnen einige Swag für gültige Eingaben senden.
Es ist merkwürdig, die DuckDuckGo Verwundbarkeit zu beachten, wurde auch HackerOne am Oktober eingereicht 31 2018. Anfangs, die Frage war so hoch in ihrer Schwere gekennzeichnet, und wie durch die Forscher in einem Gespräch geteilt mit BleepingComputer, Die Diskussion ging bis Mai 27 dieses Jahr. Das ist, wenn das Sicherheitsteam des Unternehmens festgestellt, dass die Sicherheitsanfälligkeit nicht ein ernstes Problem, und markiert es als informativ. Der Forscher wurde eine Beute belohnt.