Vulnérabilité DuckDuckGO dans la version Android v.26.0

La vulnérabilité du navigateur DuckDuckGo Android présente le site Web spoofy comme un site légitime

Une vulnérabilité d’usurpation de la barre, CVE-2019-12329, In ​​the DuckDuckGo – plus de 5 millions d’installateurs – a été détectée par le chercheur en cybersécurité Dhiraj Mishra. La vulnérabilité a été détectée sur la version Android v.26.0 et communiquée à l’équipe de la société par le biais de son programme de bug bounty hébergé sur HackerOne. En raison de cette vulnérabilité, de nombreux utilisateurs sont exposés à des attaques d’usurpation d’URL.

En savoir plus sur la vulnérabilité de DuckDuckGo

Les chercheurs en validation de concept indiquent que l’exploit fonctionne à l’aide d’une page Javascript spécialement conçue qui utilise la fonction sensible. La vulnérabilité pourrait être exposée à une URL prétendument affichée comme légitime. Mais la vérité est que, l’URL est sous le contrôle d’un pirate informatique.

Un bug presque similaire a été rapporté par Arif Khan dans le navigateur UC pour Android. Il a découvert «une vulnérabilité d’usurpation de la barre d’adresse URL dans la dernière version du navigateur UC Browser 12.11.2.1184 et du navigateur UC Browser Mini 12.10.1.1192 comportant respectivement plus de 500 et 100 millions d’installations, selon Playstore». Pour rendre le domaine de phishing digne de confiance, la vulnérabilité du navigateur UC permet également aux attaquants de se faire passer.

Petite note sur DuckDuckGo

DuckDuckGo, une entreprise de protection des données Internet, assure la sécurité des informations personnelles des utilisateurs. Il a récemment lancé un programme de gestion de bugs hébergé sur la plateforme HackerOne. L’annonce de cette annonce indique que les utilisateurs disposent désormais d’un moteur de recherche qui ne suit pas l’activité «le moteur de recherche qui ne vous suit pas».

Selon la société, “nous n’offrons pas de primes monétaires pour le moment, mais nous aimerions vous envoyer des articles promotionnels valables”.

Le 3 octobre 2018, la vulnérabilité DuckDuckGO a été soumise sur cette plate-forme HackerOne et a été marquée comme étant la poupe. La discussion sur le bogue a duré jusqu’au 27 mai de cette année, lorsque la sécurité de la société a confirmé que la vulnérabilité ne constituait pas un problème grave.