DuckDuckGo to jedna z ulubionych opcji wyszukiwania dla użytkowników, którzy uciekają z Google i są świadomi przyczyny prywatności w sieci.
Oficjalne rozszerzenie przeglądarki DuckDuckGo przez wiele miesięcy ujawniało prywatność swoich użytkowników
Dlatego, aby ułatwić korzystanie (i przy okazji dodawać funkcje, takie jak blokowanie sieci śledzenia reklam), jego twórcy uruchomili również rozszerzenia dla głównych przeglądarek: Firefox, Chrome i MS Edge.
Problem polega na tym, że teraz odkryto, że od kilku miesięcy DuckDuckGo Privacy Essentials naraża właśnie prywatność swoich użytkowników. Jak to?
Mała podatność, ogromne potencjalne konsekwencje
Mamy do czynienia z przypadkiem luki uXSS (Universal Cross-Site Scripting), w której atakujący może wstrzyknąć dowolny złośliwy kod na strony internetowe odwiedzane przez użytkownika przy użyciu jakiegoś języka skryptowego (często JavaScript) i wykorzystując luki po stronie klienta.
Pozwala to atakującemu na dostęp do historii przeglądarki i wszystkich poufnych informacji wprowadzonych przez użytkownika (takich jak dane powiązane z jego kontem bankowym), a także na zmianę informacji wyświetlanych na ekranie użytkownika.
Szanse na to, że osoba atakująca kiedykolwiek uzyska taki poziom dostępu, są niewielkie, ale potencjalne skutki są nadal katastrofalne, nawet jeśli jesteś użytkownikiem bezpiecznych narzędzi do przeglądania, takich jak SecureDrop lub ProtonMail.
Dobrą wiadomością w tym przypadku jest to, że tego rodzaju atak może wykonać tylko ktoś, kto kontroluje serwer http://staticcdn.duckduckgo.com.
Czyli w zasadzie sama firma DuckDuckGo. Ale może również zostać wykorzystany przez dostawcę hostingu (nie innego niż Microsoft, za pośrednictwem platformy Azure) lub przez atakującego, który przejmuje ten serwer (cyberprzestępcy, agencje rządowe itp.)
Według Wladimira Palanta, twórca Adblock Plus i badacz, który pierwotnie wykrył lukę, ta luka działa już od kilku miesięcy, a to dopiero od kilku dni, kiedy pojawiła się wersja 2021.3.8 rozszerzenia dla trzech głównych przeglądarek, że w końcu zostało to naprawione.