Casa > cibernético Notícias > CVE-2019-12329: URL Spoofing Bug in Browser DuckDuckGo Android
CYBER NEWS

CVE-2019-12329: URL Spoofing Bug in Browser DuckDuckGo Android

CVE-2019-12329 é uma vulnerabilidade de falsificação barra de endereços do navegador o DuckDuckGo para a versão Android 5.26.0. O navegador tem mais de 5 milhões de instalações, e seus usuários estão expostos a ataques de falsificação de URL.

A vulnerabilidade foi descoberta pelo pesquisador de segurança Dhiraj Mishra, que relatou à equipe de segurança do DuckDuckGo por meio de seu programa de recompensa de bug hospedado no HackerOne.



Como funciona o CVE-2019-12329?

De acordo com a prova de conceito do pesquisador, o bug funciona falsificando o omnibar do navegador de privacidade do DuckDuckGo. A exploração funciona com a ajuda de uma página JavaScript especialmente criada que utiliza a função setInterval, precisava recarregar um URL a cada 10 para 50 em.

A vulnerabilidade pode ser explorada em ataques de falsificação de URL, em que o URL exibido na barra de endereço é alterado para fazer os usuários acreditarem que o site que estão visitando é legítimo e não controlado por invasores.

A verdade é que o site é de fato controlado por hackers. Uma vulnerabilidade semelhante foi descoberta no início de maio no UC Browser para Android. O pesquisador de segurança Arif Khan descobriu “uma vulnerabilidade de falsificação da barra de endereços de URL na versão mais recente do UC Browser 12.11.2.1184 e UC Browser Mini 12.10.1.1192 que têm mais de 500mn e 100mn instalações cada, respectivamente, conforme Playstore”.

A vulnerabilidade do navegador UC também permite que os invasores mascarem seus domínios de phishing como o site que eles estão visando, parecendo confiável para os usuários. Como é que isso funciona? O domínio blogspot.com pode fingir ser facebook.com, Khan explicou, enganando o usuário para que visite www.google.com.blogspot.com/?q = www.facebook.com.

relacionado: [wplinkpreview url =”https://sensorstechforum.com/url-address-bar-spoofing-vulnerability-uc-browser/
“] Vulnerabilidade de falsificação da barra de endereços de URL no navegador de UC não corrigida.

Mais sobre DuckDuckGo

DuckDuckGo é uma empresa de privacidade na Internet que capacita os usuários a controlar perfeitamente suas informações pessoais online, sem qualquer troca. Anunciado como “o mecanismo de pesquisa que não rastreia você”, a empresa iniciou um programa de recompensa por bug hospedado na plataforma HackerOne. Deve-se notar que a empresa não oferece compensação monetária por relatórios de bug:

Não estamos oferecendo recompensas monetárias neste momento, Contudo, Adoraríamos enviar alguns brindes para inscrições válidas.

É curioso notar que a vulnerabilidade DuckDuckGo também foi enviada ao HackerOne em outubro 31 2018. No início, o problema foi marcado como de alta gravidade, e como compartilhado pelo pesquisador em uma conversa com BleepingComputer, a discussão foi até maio 27 este ano. Foi quando a equipe de segurança da empresa concluiu que a vulnerabilidade não é um problema sério, e o marcou como informativo. O pesquisador foi recompensado com um brinde.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Compartilhar no Facebook Compartilhar
Carregando...
Compartilhar no Twitter chilrear
Carregando...
Compartilhar no Google Plus Compartilhar
Carregando...
Partilhar no Linkedin Compartilhar
Carregando...
Compartilhar no Digg Compartilhar
Compartilhar no Reddit Compartilhar
Carregando...
Partilhar no StumbleUpon Compartilhar
Carregando...