W open source’owej przeglądarce DuckDuckGo w wersji 5.26.0 dla systemu Android istnieje podatność umożliwiająca atakującym fałszowanie adresów URL poprzez wykorzystanie fałszywego paska adresu.
Badacz bezpieczeństwa Dhiraj Mishra odkrył lukę CVE-2019-12329 i zgłosił ją zespołowi ds. bezpieczeństwa aplikacji za pośrednictwem programu bug bounty na platformie koordynacji błędów i luk w zabezpieczeniach HackerOne. Opracowany przez niego proof-of-concept działa poprzez podszywanie się pod DuckDuckGo za pomocą specjalnie spreparowanej strony JavaScript, która wykorzystuje funkcję setInterval do ponownego załadowania adresu URL co 10 do 50 ms. Podczas gdy prawdziwa strona duckduckgo.com jest automatycznie ładowana co 50 ms, wewnętrzny HTML jest modyfikowany, aby wyświetlać zupełnie inną zawartość.
Więcej informacji: https://www.bleepingcomputer.com/news/security/duckduckgo-android-browser-vulnerable-to-url-spoofing-attacks/
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny