DuckDuckGo – один из любимых вариантов поиска для пользователей, которые бегут от Google и знают о причине конфиденциальности в Интернете.
Официальное расширение для браузера DuckDuckGo в течение нескольких месяцев раскрывает конфиденциальность своих пользователей.
Итак, чтобы упростить использование (и, кстати, добавить такие функции, как блокировка сетей отслеживания рекламы), его создатели также запустили расширения для основных браузеров: Firefox, Chrome и MS Edge.
Проблема в том, что теперь было обнаружено, что в течение нескольких месяцев DuckDuckGo Privacy Essentials подвергает риску именно конфиденциальность своих пользователей. Как так?
Маленькая уязвимость, огромные потенциальные последствия
Мы имеем дело со случаем уязвимости uXSS (универсальное межсайтовое выполнение сценариев), при которой злоумышленник может внедрить произвольный вредоносный код в веб-страницы, посещаемые пользователем, используя некоторый язык сценариев (часто JavaScript) и используя уязвимости на стороне клиента.
Это позволяет злоумышленнику получить доступ к истории браузера и всей конфиденциальной информации, введенной пользователем (например, данным, связанным с его банковским счетом), а также изменить информацию, отображаемую на экране пользователя.
Шансы на то, что злоумышленник когда-либо получит такой доступ, невелики, но потенциальные результаты по-прежнему катастрофичны, даже если вы являетесь пользователем таких инструментов безопасного просмотра, как SecureDrop или ProtonMail.
Хорошая новость в этом случае заключается в том, что такого рода атака может быть выполнена только кем-то, кто контролирует сервер http://staticcdn.duckduckgo.com.
То есть в принципе самой компанией DuckDuckGo. Но он также может быть использован его хостинг-провайдером (не кем иным, как Microsoft, через Azure) или злоумышленником, который захватывает этот сервер (киберпреступники, правительственные учреждения и т. Д.).
По словам Владимира Паланта, создатель Adblock Plus и исследователь, который первоначально обнаружил уязвимость, эта уязвимость действовала в течение нескольких месяцев, и только в последние несколько дней, когда была выпущена версия 2021.3.8 расширения для трех основные браузеры, что это наконец-то исправлено.