Следующая новость
Предыдущая новость

Android-версия браузера DuckDuckGo уязвима перед подделкой URL

29.05.2019 15:02
Android-версия браузера DuckDuckGo уязвима перед подделкой URL

Рекомендуем почитать:

Xakep #242. Фаззинг

  • Содержание выпуска
  • Подписка на «Хакер»

Независимый исследователь Дхирадж Мишра (Dhiraj Mishra) обнаружил уязвимость в Android-версии браузера DuckDuckGo (версия 5.26.0), который был загружен и установлен более 5 000 000 раз.

Баг получил идентификатор CVE-2019-12329 и позволяет подменить URL в адресной строке защищенного браузера, обманув пользователя. Проблема по-прежнему не устранена, хотя исследователь сообщил о ней через платформу HackerOne еще в октябре 2018 года. После продолжительно дискуссии разработчики DuckDuckGo предпочли отметить отчет об уязвимости как «информативный», заплатили эксперту вознаграждения, но сообщили, не рассматривают описанный баг, как серьезную уязвимость.

Android-версия браузера DuckDuckGo уязвима перед подделкой URL

Суть проблемы заключается в том, что содержимое адресной строки DuckDuckGo можно подделать при помощи специальной JavaScript-страницы, которая использует функцию setInterval для перезагрузки URL каждый 10-50 миллисекунд. Тогда как настоящий сайт duckduckgo.com автоматически грузится каждый 50 миллисекунд, исследователь сумел добиться отображения совершенно иного контента в самом браузере. PoC-эксплоит можно увидеть ниже.

Android-версия браузера DuckDuckGo уязвима перед подделкой URL

ИБ-специалисты недаром называют подобные уязвимости и атаки на них наихудшим из всех видов фишинга. Ведь если пользователь не может доверять даже адресной строке своего браузера, дело определенно плохо.

Источник

Последние новости