CVE-2019-12329は、AndroidバージョンのDuckDuckGoブラウザにおけるアドレスバーのなりすましの脆弱性です。 5.26.0. ブラウザには以上のものがあります 5 百万のインストール, そしてそのユーザーはURLスプーフィング攻撃にさらされています.
この脆弱性は、HackerOneでホストされている脆弱性報奨金プログラムを介してDuckDuckGoのセキュリティチームに報告したセキュリティ研究者のDhirajMishraによって発見されました。.
CVE-2019-12329はどのように機能しますか?
研究者の概念実証によると, このバグは、DuckDuckGoのプライバシーブラウザのオムニバーをスプーフィングすることで機能します. このエクスプロイトは、setInterval関数を利用する特別に細工されたJavaScriptページの助けを借りて機能します, 毎回URLをリロードする必要があります 10 に 50 MS.
この脆弱性は、アドレスバーに表示されるURLが変更されて、アクセスしているWebサイトが正当であり、攻撃者による制御ではないとユーザーに信じ込ませるURLスプーフィング攻撃で悪用される可能性があります。.
真実は、ウェブサイトが実際にハッカーによって管理されているということです. 同様の脆弱性が5月初めにUCBrowserforAndroidで発見されました. セキュリティ研究者のArifKhanは、次のことを発見しました。最新バージョンのUCブラウザにおけるURLアドレスバーのなりすましの脆弱性 12.11.2.1184 およびUCBrowserMini 12.10.1.1192 それぞれ5億以上と1億以上のインストールがあります, Playstoreによる」.
UCブラウザの脆弱性により、攻撃者はフィッシングドメインを標的とするWebサイトになりすますことができます。, したがって、ユーザーにとって信頼できるように見えます. これはどのように作動しますか? blogspot.comドメインは、facebook.comのふりをすることができます, カーンは説明した, ユーザーをだましてwww.google.com.blogspot.com/にアクセスさせます?q = www.facebook.com.
“] パッチが適用されていないUCブラウザのURLアドレスバーのなりすましの脆弱性.
DuckDuckGoの詳細
DuckDuckGoは、ユーザーがオンラインで個人情報をシームレスに管理できるようにするインターネットプライバシー企業です。, トレードオフなし. として宣伝 “あなたを追跡しない検索エンジン”, 同社はバグバウンティプログラムを開始しました HackerOneプラットフォームでホスト. 同社はバグレポートに対して金銭的な補償を提供していないことに注意する必要があります:
現在、賞金は提供していません。, でも, 有効な提出物のためにいくつかの盗品を送りたいと思います.
DuckDuckGoの脆弱性が10月にHackerOneにも提出されたことに注目してください。 31 2018. 初めに, 問題は重大度が高いとマークされました, 研究者がBleepingComputerとの会話で共有したもの, 議論は5月まで続きました 27 ことし. そのとき、会社のセキュリティチームは、脆弱性は深刻な問題ではないと結論付けました。, そしてそれを有益なものとしてマークしました. 研究者は盗品を受け取った.