CVE-2019-12329は、AndroidバージョンのDuckDuckGoブラウザにおけるアドレスバーのなりすましの脆弱性です。 5.26.0. ブラウザには以上のものがあります 5 百万のインストール, そしてそのユーザーはURLスプーフィング攻撃にさらされています.
この脆弱性は、HackerOneでホストされている脆弱性報奨金プログラムを介してDuckDuckGoのセキュリティチームに報告したセキュリティ研究者のDhirajMishraによって発見されました。.
CVE-2019-12329はどのように機能しますか?
研究者の概念実証によると, このバグは、DuckDuckGoのプライバシーブラウザのオムニバーをスプーフィングすることで機能します. このエクスプロイトは、setInterval関数を利用する特別に細工されたJavaScriptページの助けを借りて機能します, 毎回URLをリロードする必要があります 10 に 50 MS.
この脆弱性は、アドレスバーに表示されるURLが変更されて、アクセスしているWebサイトが正当であり、攻撃者による制御ではないとユーザーに信じ込ませるURLスプーフィング攻撃で悪用される可能性があります。.
真実は、ウェブサイトが実際にハッカーによって管理されているということです. 同様の脆弱性が5月初めにUCBrowserforAndroidで発見されました. セキュリティ研究者のArifKhanは、次のことを発見しました。最新バージョンのUCブラウザにおけるURLアドレスバーのなりすましの脆弱性 12.11.2.1184 およびUCBrowserMini 12.10.1.1192 それぞれ5億以上と1億以上のインストールがあります, Playstoreによる」.
UCブラウザの脆弱性により、攻撃者はフィッシングドメインを標的とするWebサイトになりすますことができます。, したがって、ユーザーにとって信頼できるように見えます. これはどのように作動しますか? blogspot.comドメインは、facebook.comのふりをすることができます, カーンは説明した, ユーザーをだましてwww.google.com.blogspot.com/にアクセスさせます?q = www.facebook.com.
“] パッチが適用されていないUCブラウザのURLアドレスバーのなりすましの脆弱性.
DuckDuckGoの詳細
DuckDuckGoは、ユーザーがオンラインで個人情報をシームレスに管理できるようにするインターネットプライバシー企業です。, トレードオフなし. として宣伝 “あなたを追跡しない検索エンジン”, 同社はバグバウンティプログラムを開始しました HackerOneプラットフォームでホスト. 同社はバグレポートに対して金銭的な補償を提供していないことに注意する必要があります:
現在、賞金は提供していません。, でも, 有効な提出物のためにいくつかの盗品を送りたいと思います.
DuckDuckGoの脆弱性が10月にHackerOneにも提出されたことに注目してください。 31 2018. 初めに, 問題は重大度が高いとマークされました, 研究者がBleepingComputerとの会話で共有したもの, 議論は5月まで続きました 27 ことし. そのとき、会社のセキュリティチームは、脆弱性は深刻な問題ではないと結論付けました。, そしてそれを有益なものとしてマークしました. 研究者は盗品を受け取った.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: