CVE-2019-12.329 es una vulnerabilidad de suplantación barra de direcciones del navegador DuckDuckGo para la versión de Android 5.26.0. El navegador tiene más de 5 millones de instalaciones, y sus usuarios están expuestos a ataques de suplantación de URL.
La vulnerabilidad fue descubierta por el investigador de seguridad Dhiraj Mishra quien informó a equipo de seguridad de DuckDuckGo a través de su programa de recompensas de errores alojado en HackerOne.
¿Cómo funciona desde 2019 hasta 12329 CVE-Trabajo?
De acuerdo con prueba de concepto-del investigador, las obras de errores por spoofing Omnibar de privacidad del navegador de DuckDuckGo. El exploit funciona con la ayuda de una página especialmente diseñada JavaScript que utiliza la función setInterval, necesaria para recargar cada una URL 10 a 50 Sra.
La vulnerabilidad puede ser explotada en ataques de suplantación de URL en la URL que aparece en la barra de direcciones se cambia para engañar a los usuarios para que crean el sitio web que están visitando es legítimo y no por los atacantes Controller.
La verdad es que el sitio web es a su vez controlada hacker hecho. Una vulnerabilidad similar fue descubierto a principios de mayo en UC Browser para Android. El investigador de seguridad Arif Khan descubrió “una vulnerabilidad de suplantación de la barra de direcciones URL en la última versión del navegador de la UC 12.11.2.1184 y UC Browser Mini 12.10.1.1192 que tienen más de 500mn y 100mn instala cada respectivamente, como por PlayStore".
La vulnerabilidad del navegador UC alsoenables atacantes para hacerse pasar sus dominios de phishing como la página web que se dirigen, apareciendo así confianza a los usuarios. Como funciona esto? El dominio blogspot.com puede pretender ser facebook.com, Khan explicó, engañando al usuario para que visite www.google.com.blogspot.com/?q = www.facebook.com.
“] Barra de direcciones URL de la vulnerabilidad de suplantación en UC Browser izquierda sin parches.
Más sobre DuckDuckGo
DuckDuckGo es una empresa de la privacidad en Internet que permite a los usuarios tomar sin problemas el control de su información personal en línea, sin ningún tipo de compensaciones. Se anuncian como “el motor de búsqueda que no le pista”, la compañía ha iniciado un programa de recompensas de errores alojada en la plataforma HackerOne. Cabe señalar que la empresa no ofrece una compensación monetaria por los informes de error:
No estamos ofreciendo recompensas monetarias en este momento, sin embargo, nos gustaría que le envíe algún botín para las presentaciones válidos.
Es curioso observar la vulnerabilidad DuckDuckGo también se presentó a HackerOne de octubre 31 2018. Al principio, el problema se ha marcado como alta en la severidad, y como compartidos por el investigador en una conversación con BleepingComputer, la discusión se prolongó hasta mayo 27 este año. Fue entonces cuando el equipo de seguridad de la empresa llegó a la conclusión de que la vulnerabilidad no es un problema grave, y marcada como informativa. El investigador fue recompensado un botín.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: