CVE-2019-12.329 is een adresbalk spoofing in de DuckDuckGo browser voor Android-versie 5.26.0. De browser heeft meer dan 5 miljoen installaties, en zijn gebruikers zijn blootgesteld aan spoofing aanvallen URL.
De kwetsbaarheid werd ontdekt door security-onderzoeker Dhiraj Mishra, die het via hun bug bounty programma gehost op HackerOne gemeld aan DuckDuckGo's beveiligingsteam.
Hoe werkt CVE-2019-12.329 Work?
Volgens de proof-of-concept van de onderzoeker, de bug werkt door voor de gek houden Omnibar DuckDuckGo privacy browser. De exploit werkt met behulp van een speciaal vervaardigde JavaScript pagina waarop de setInterval functie maakt gebruik van, nodig is om een URL elke herladen 10 aan 50 Mevrouw.
Het beveiligingslek kan worden misbruikt in URL spoofing aanvallen waarbij de URL die wordt weergegeven in de adresbalk wordt veranderd om gebruikers te laten geloven de website die ze bezoekt legitiem is en niet de verkeersleiding via aanvallers.
De waarheid is dat de website is in feite hacker-gecontroleerde. Een soortgelijke kwetsbaarheid werd eerder mei ontdekt in UC Browser voor Android. Security-onderzoeker Arif Khan ontdekt “een URL Address Bar spoofing in de nieuwste versie van de UC Browser 12.11.2.1184 en UC Browser Mini 12.10.1.1192 die moeten dan 500mn en 100mn installeert elk voor, volgens PlayStore".
De UC browser kwetsbaarheid alsoenables aanvallers om hun phishing-domeinen zich voordoen als de website waarop ze gericht, en lijkt daarmee betrouwbaar gebruikers. Hoe werkt dit? De blogspot.com domein kan doen alsof ze facebook.com, Khan verklaard, door tricking de gebruiker om www.google.com.blogspot.com/ bezoeken?q = www.facebook.com.
“] URL Address Bar spoofing in UC Browser Left Unpatched.
Meer over DuckDuckGo
DuckDuckGo is een Internet privacy bedrijf dat gebruikers in staat stelt om de controle over hun persoonlijke informatie naadloos te nemen online, zonder enige afwegingen. geadverteerd als “de zoekmachine die u niet bijhouden”, het bedrijf heeft een bug bounty gestart gehost op de HackerOne platform. Opgemerkt dient te worden dat het bedrijf een financiële vergoeding voor de bug reports niet aanbiedt:
We bieden geen monetaire bounties op dit moment, echter, we u graag wat swag voor geldige inzendingen sturen.
Het is merkwaardig om op te merken het DuckDuckGo kwetsbaarheid werd ook op oktober tot HackerOne ingediend 31 2018. Eerst, het probleem is gemarkeerd als hoog in ernst, en als gedeeld door de onderzoeker in een gesprek met BeginnersWeb, de discussie ging tot mei 27 dit jaar. Dat is wanneer het bedrijf security team concludeerde dat het probleem is niet een ernstig probleem, en gemarkeerd als informatief. De onderzoeker werd beloond een swag.