CVE-2019-12.329: URL spoofing Bug in DuckDuckGo Android-browser
CYBER NEWS

CVE-2019-12.329: URL spoofing Bug in DuckDuckGo Android-browser

CVE-2019-12.329 is een adresbalk spoofing in de DuckDuckGo browser voor Android-versie 5.26.0. De browser heeft meer dan 5 miljoen installaties, en zijn gebruikers zijn blootgesteld aan spoofing aanvallen URL.

De kwetsbaarheid werd ontdekt door security-onderzoeker Dhiraj Mishra, die het via hun bug bounty programma gehost op HackerOne gemeld aan DuckDuckGo's beveiligingsteam.



Hoe werkt CVE-2019-12.329 Work?

Volgens de proof-of-concept van de onderzoeker, de bug werkt door voor de gek houden Omnibar DuckDuckGo privacy browser. De exploit werkt met behulp van een speciaal vervaardigde JavaScript pagina waarop de setInterval functie maakt gebruik van, nodig is om een ​​URL elke herladen 10 aan 50 Mevrouw.

Het beveiligingslek kan worden misbruikt in URL spoofing aanvallen waarbij de URL die wordt weergegeven in de adresbalk wordt veranderd om gebruikers te laten geloven de website die ze bezoekt legitiem is en niet de verkeersleiding via aanvallers.

De waarheid is dat de website is in feite hacker-gecontroleerde. Een soortgelijke kwetsbaarheid werd eerder mei ontdekt in UC Browser voor Android. Security-onderzoeker Arif Khan ontdekt “een URL Address Bar spoofing in de nieuwste versie van de UC Browser 12.11.2.1184 en UC Browser Mini 12.10.1.1192 die moeten dan 500mn en 100mn installeert elk voor, volgens PlayStore".

De UC browser kwetsbaarheid alsoenables aanvallers om hun phishing-domeinen zich voordoen als de website waarop ze gericht, en lijkt daarmee betrouwbaar gebruikers. Hoe werkt dit? De blogspot.com domein kan doen alsof ze facebook.com, Khan verklaard, door tricking de gebruiker om www.google.com.blogspot.com/ bezoeken?q = www.facebook.com.

Verwant: URL Address Bar spoofing in UC Browser Left Unpatched.

Meer over DuckDuckGo

DuckDuckGo is een Internet privacy bedrijf dat gebruikers in staat stelt om de controle over hun persoonlijke informatie naadloos te nemen online, zonder enige afwegingen. geadverteerd als “de zoekmachine die u niet bijhouden”, het bedrijf heeft een bug bounty gestart gehost op de HackerOne platform. Opgemerkt dient te worden dat het bedrijf een financiële vergoeding voor de bug reports niet aanbiedt:

We bieden geen monetaire bounties op dit moment, echter, we u graag wat swag voor geldige inzendingen sturen.

Het is merkwaardig om op te merken het DuckDuckGo kwetsbaarheid werd ook op oktober tot HackerOne ingediend 31 2018. Eerst, het probleem is gemarkeerd als hoog in ernst, en als gedeeld door de onderzoeker in een gesprek met BeginnersWeb, de discussie ging tot mei 27 dit jaar. Dat is wanneer het bedrijf security team concludeerde dat het probleem is niet een ernstig probleem, en gemarkeerd als informatief. De onderzoeker werd beloond een swag.

Milena Dimitrova

Milena Dimitrova

Een geïnspireerde schrijver en content manager die heeft met SensorsTechForum sinds het begin. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Termijn is uitgeput. Laad CAPTCHA.

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...