CVE-2019-12329 é uma vulnerabilidade de falsificação barra de endereços do navegador o DuckDuckGo para a versão Android 5.26.0. O navegador tem mais de 5 milhões de instalações, e seus usuários estão expostos a ataques de falsificação de URL.
A vulnerabilidade foi descoberta pelo pesquisador de segurança Dhiraj Mishra, que relatou à equipe de segurança do DuckDuckGo por meio de seu programa de recompensa de bug hospedado no HackerOne.
Como funciona o CVE-2019-12329?
De acordo com a prova de conceito do pesquisador, o bug funciona falsificando o omnibar do navegador de privacidade do DuckDuckGo. A exploração funciona com a ajuda de uma página JavaScript especialmente criada que utiliza a função setInterval, precisava recarregar um URL a cada 10 para 50 em.
A vulnerabilidade pode ser explorada em ataques de falsificação de URL, em que o URL exibido na barra de endereço é alterado para fazer os usuários acreditarem que o site que estão visitando é legítimo e não controlado por invasores.
A verdade é que o site é de fato controlado por hackers. Uma vulnerabilidade semelhante foi descoberta no início de maio no UC Browser para Android. O pesquisador de segurança Arif Khan descobriu “uma vulnerabilidade de falsificação da barra de endereços de URL na versão mais recente do UC Browser 12.11.2.1184 e UC Browser Mini 12.10.1.1192 que têm mais de 500mn e 100mn instalações cada, respectivamente, conforme Playstore”.
A vulnerabilidade do navegador UC também permite que os invasores mascarem seus domínios de phishing como o site que eles estão visando, parecendo confiável para os usuários. Como é que isso funciona? O domínio blogspot.com pode fingir ser facebook.com, Khan explicou, enganando o usuário para que visite www.google.com.blogspot.com/?q = www.facebook.com.
“] Vulnerabilidade de falsificação da barra de endereços de URL no navegador de UC não corrigida.
Mais sobre DuckDuckGo
DuckDuckGo é uma empresa de privacidade na Internet que capacita os usuários a controlar perfeitamente suas informações pessoais online, sem qualquer troca. Anunciado como “o mecanismo de pesquisa que não rastreia você”, a empresa iniciou um programa de recompensa por bug hospedado na plataforma HackerOne. Deve-se notar que a empresa não oferece compensação monetária por relatórios de bug:
Não estamos oferecendo recompensas monetárias neste momento, Contudo, Adoraríamos enviar alguns brindes para inscrições válidas.
É curioso notar que a vulnerabilidade DuckDuckGo também foi enviada ao HackerOne em outubro 31 2018. No início, o problema foi marcado como de alta gravidade, e como compartilhado pelo pesquisador em uma conversa com BleepingComputer, a discussão foi até maio 27 este ano. Foi quando a equipe de segurança da empresa concluiu que a vulnerabilidade não é um problema sério, e o marcou como informativo. O pesquisador foi recompensado com um brinde.