CVE-2019-12329 est une barre d'adresse de l'usurpation d'identité dans la vulnérabilité du navigateur DuckDuckGo pour la version Android 5.26.0. Le navigateur a plus de 5 millions d'installations, et ses utilisateurs sont exposés à l'URL des attaques par spoofing.
La vulnérabilité a été découverte par le chercheur en sécurité Dhiraj Mishra qui l'a signalé à l'équipe de sécurité de DuckDuckGo via leur programme de primes bug hébergé sur HackerOne.
Comment fonctionne le CVE-2019-12329?
Selon la preuve de concept du chercheur, les travaux de bugs par usurpation d'identité de omnibar de navigateur de confidentialité de DuckDuckGo. L'exploit fonctionne avec l'aide d'une page JavaScript spécialement conçu qui utilise la fonction setInterval, nécessaire pour recharger une URL à chaque 10 à 50 Mme.
La vulnérabilité peut être exploitée dans des attaques d'usurpation d'URL où l'URL affichée dans la barre d'adresse est modifiée pour tromper les utilisateurs en leur faisant croire le site qu'ils visitent est légitime et non contrôleur par des attaquants.
La vérité est que le site est en fait contrôlée pirate informatique. Une vulnérabilité similaire a été découvert plus tôt en mai UC Browser pour Android. Le chercheur en sécurité Arif Khan a découvert «une adresse URL vulnérabilité de l'usurpation d'identité Bar dans la dernière version du navigateur UC 12.11.2.1184 et UC Browser Mini 12.10.1.1192 qui ont plus de 500 M et 100mn installe chacun respectivement, selon Playstore".
La vulnérabilité du navigateur UC alsoenables attaquants pour masquer leurs domaines de phishing que le site Web qu'ils ciblent, apparaît donc digne de confiance pour les utilisateurs. Comment cela marche-t-il? Le domaine blogspot.com peut prétendre être facebook.com, Khan a expliqué, en incitant l'utilisateur à visiter www.google.com.blogspot.com/?q = www.facebook.com.
“] URL barre d'adresse vulnérabilité Spoofing dans UC Browser gauche non corrigées.
En savoir plus sur DuckDuckGo
DuckDuckGo est une société de confidentialité Internet qui permet aux utilisateurs de prendre de façon transparente le contrôle de leurs renseignements personnels en ligne, sans compromis. Présenté comme “le moteur de recherche qui ne suit pas vous”, la société a lancé un programme de primes bug hébergé sur la plate-forme HackerOne. Il convient de noter que la société ne propose pas une compensation monétaire pour les rapports de bugs:
Nous ne proposons pas des primes monétaires à ce moment, cependant, nous aimerions vous envoyer des soumissions valides pour butin.
Il est curieux de noter la vulnérabilité DuckDuckGo a également été soumis à HackerOne en Octobre 31 2018. D'abord, la question a été marquée aussi élevée dans la sévérité, et comme partagé par le chercheur dans une conversation avec BleepingComputer, la discussion a jusqu'au mois de mai 27 cette année. C'est alors l'équipe de sécurité de la société a conclu que la vulnérabilité est pas un problème grave, et il a marqué comme informatif. Le chercheur a été récompensé d'un butin.