CVE-2.019-12.329: URL Spoofing Bug in DuckDuckGo Android Browser
CYBER NEWS

CVE-2.019-12.329: URL Spoofing Bug in DuckDuckGo Android Browser

CVE-2.019-12.329 è una vulnerabilità di spoofing barra degli indirizzi del browser DuckDuckGo per la versione Android 5.26.0. Il browser ha più di 5 milioni di installazioni, ed i suoi utenti sono esposti a URL attacchi di spoofing.

La vulnerabilità è stata scoperta da ricercatore di sicurezza Dhiraj Mishra che hanno riferito ai team di sicurezza di DuckDuckGo tramite il loro programma di taglie bug ospitato su HackerOne.



Come funziona CVE-2.019-12.329 Work?

Secondo proof-of-concept del ricercatore, le opere di bug di spoofing Omnibar di di DuckDuckGo del browser privacy. L'exploit funziona con l'aiuto di una pagina appositamente predisposta JavaScript che utilizza la funzione setInterval, necessari per ricaricare un URL ogni 10 a 50 Signorina.

La vulnerabilità può essere sfruttata in attacchi di spoofing URL in cui l'URL visualizzato nella barra degli indirizzi viene modificato per ingannare gli utenti a credere il sito web che stai visitando è legittima e non controller da aggressori.

La verità è che il sito è in realtà di hacker controllato. Una vulnerabilità simile è stato scoperto in precedenza in maggio a UC Browser per Android. Ricercatore di sicurezza Arif Khan scoperto “una vulnerabilità allo spoofing della barra Indirizzo URL nella versione più recente del browser UC 12.11.2.1184 e UC Browser Mini 12.10.1.1192 che hanno oltre 500mn 100mn e installa ogni rispettivamente, come da PlayStore".

La vulnerabilità del browser UC alsoenables aggressori di mascherare i loro domini di phishing come il sito web cui si rivolgono, apparendo in tal modo affidabile per gli utenti. Come funziona? Il dominio blogspot.com può fingere di essere facebook.com, Khan ha spiegato, ingannando l'utente a visitare www.google.com.blogspot.com/?q = www.facebook.com.

Correlata: Indirizzo URL bar spoofing in UC Browser Sinistra senza patch.

Di più su DuckDuckGo

DuckDuckGo è una società di privacy su Internet che consente agli utenti di prendere senza problemi il controllo delle loro informazioni personali online, senza compromessi. pubblicizzato come “il motore di ricerca che non ti traccia”, l'azienda ha avviato un programma bug bounty ospitato sulla piattaforma HackerOne. Si segnala che la società non offre una compensazione monetaria per segnalazioni di bug:

Non stiamo offrendo premi monetari in questo momento, tuttavia, ci piacerebbe inviare qualche festone per lavori validi.

E 'curioso notare la vulnerabilità DuckDuckGo è stata presentata anche al HackerOne ottobre 31 2018. All'inizio, il problema è stato contrassegnato come ad alto contenuto di gravità, e come condiviso dal ricercatore in una conversazione con BleepingComputer, la discussione è proseguita fino a maggio 27 quest'anno. Questo è quando la squadra di sicurezza della società ha concluso che la vulnerabilità non è un problema serio, e contrassegnato come informativo. Il ricercatore è stata premiata un festone.

Avatar

Milena Dimitrova

Uno scrittore ispirato e gestore di contenuti che è stato con SensorsTechForum per 4 anni. Gode ​​di ‘Mr. Robot’e le paure‘1984’. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Termine è esaurito. Ricarica CAPTCHA.

Condividi su Facebook Quota
Loading ...
Condividi su Twitter Tweet
Loading ...
Condividi su Google Plus Quota
Loading ...
Condividi su Linkedin Quota
Loading ...
Condividi su Digg Quota
Condividi su Reddit Quota
Loading ...
Condividi su Stumbleupon Quota
Loading ...