O navegador de código aberto DuckDuckGo Privacy Browser para Android versão 5.26.0, com mais de cinco milhões de instalações, possibilita que invasores em potencial iniciem ataques de falsificação de URL, visando os usuários do aplicativo, explorando uma vulnerabilidade de falsificação na barra de endereço.
O pesquisador de segurança Dhiraj Mishra encontrou a falha rastreada como CVE-2019-12329 e reportou à equipe de segurança dos aplicativos através do seu programa de recompensas de bugs na plataforma de coordenação de vulnerabilidades e vulnerabilidades do HackerOne.
O pesquisador afirma que a prova de conceito que ele criou funciona falsificando a omnibar do DuckDuckGo Privacy Browser com a ajuda de uma página JavaScript especialmente criada que faz uso da função setInterval para recarregar uma URL a cada 10 a 50 ms.
Enquanto o site real duckduckgo.com é automaticamente carregado a cada 50 ms, o HTML interno é modificado para exibir conteúdo totalmente diferente, como explicado na postagem do blog de Mishra .
De acordo com o BleepingComputer, “esta vulnerabilidade foi enviada para a equipe de segurança do navegador através do HackerOne em 31 de outubro de 2018, inicialmente este bug foi marcado como alto, a discussão foi até 27 de maio de 2019, e eles concluíram que” não parece ser uma problema sério “e marcou o bug como informativo, no entanto, foi premiado com um ganho de DuckDuckGo”.
Os invasores em potencial podem realizar ataques de falsificação de URL alterando a URL exibida na barra de endereço do navegador da web vulnerável para enganar as vítimas e fazê-las pensar que o site que estão navegando no momento é controlado por uma parte confiável.
No entanto, o site estará sob o controle dos agentes maliciosos que operam o ataque, assim como aconteceria depois que os invasores abusassem da falha de spoofing desenterrada por Mishra no DuckDuckGo Privacy Browser for Android.
Vítimas inconscientes podem assim ser redirecionadas para domínios camuflados como vários sites de alto perfil que realmente permitiriam que os invasores roubassem as informações de seus alvos usando páginas de destino de phishing ou soltando malware em seus computadores através de campanhas de malvertising.
Durante o início de maio, o pesquisador de segurança Arif Khan também descobriu que os aplicativos UC Browser e UC Browser Mini Android com mais de 600 milhões de instalações no total estavam expondo seus usuários a ataques de falsificação de URL.
“O spoofing da barra de endereços de URL é o pior tipo de ataque de phishing possível. Porque é a única maneira de identificar o site que o usuário está visitando”, como Khan disse na época.
O post DuckDuckGo Android Browser vulnerável a ataques de falsificação de URL apareceu primeiro em Mundo Hacker.
Fonte: http://feedproxy.google.com/~r/mundohackeroficial/~3/0B3Mb3iTNr0/
Nenhum comentário:
Antes de deixar um comentário, acesse o site meuspy.com e veja como é fácil espionar celulares.