Segurança

DuckDuckGo Android Browser vulnerável a ataques de falsificação de URL

0
DuckDuckGo Android Browser vulnerável a ataques de falsificação de URL

O navegador de código aberto  DuckDuckGo Privacy Browser para Android versão 5.26.0, possibilita que invasores em potencial iniciem ataques de falsificação de URL. Assim, atingem pelo menos cinco milhões de usuários que instalaram o aplicativo. Os hackers exploram uma vulnerabilidade de falsificação de barra de endereço. Portanto, o DuckDuckGo Android Browser é vulnerável a ataques de falsificação de URL.

O pesquisador de segurança Dhiraj Mishra  encontrou a falha rastreada como CVE-2019-12329. Ele reportou à equipe de segurança dos aplicativos através do seu programa de recompensas de bugs na plataforma de coordenação de vulnerabilidades do HackerOne.

Como se dá a invasão pelo DuckDuckGo

O pesquisador afirma que a prova de conceito que ele criou funciona falsificando a omnibar do DuckDuckGo Privacy Browser com a ajuda de uma página JavaScript especialmente criada. Ela faz uso da função setInterval para recarregar uma URL a cada 10 a 50 ms.

Enquanto o site real duckduckgo.com é automaticamente carregado a cada 50 ms, o HTML interno é modificado para exibir conteúdo totalmente diferente, como explicado na postagem do blog de Mishra.

DuckDuckGo Android Browser vulnerável a ataques de falsificação de URL

Como o pesquisador disse ao BleepingComputer, esta vulnerabilidade foi enviada para a equipe de segurança do navegador através do HackerOne em 31 de outubro de 2018. Inicialmente este bug foi marcado como alto, a discussão foi até 27 de maio de 2019, e eles concluíram que não parece ser uma problema sério “e marcou o bug como informativo. No entanto, foi premiado com um ganho de DuckDuckGo.

Os invasores em potencial podem realizar ataques de falsificação de URL. Eles alteram a URL exibida na barra de endereço do navegador da web vulnerável para enganar as vítimas. Assim, elas pensam que estão em um site confiável.

Contudo, o site estará sob o controle dos agentes maliciosos que operam o ataque. Da mesma forma como aconteceria depois que os invasores abusassem da falha de spoofing descoberta por Mishra.

DuckDuckGo Android Browser vulnerável a ataques de falsificação de URL

DuckDuckGo Android Browser vulnerável a ataques de falsificação de URL

Vítimas em potencial podem assim ser redirecionadas para domínios camuflados. Ao invés de um site legítimo, acabam acessando vários sites  perigosos. Portanto, são esses sites que realmente permitiriam que os invasores roubassem as informações de seus alvos. Para isso usariam páginas de destino de phishing ou soltando malware em seus computadores através de campanhas de malvertising.

Durante o início de maio, o pesquisador de segurança  Arif Khan também descobriu que os aplicativos UC Browser e UC Browser Mini Android com mais de 600 milhões de instalações no total estavam expondo seus usuários a ataques de falsificação de URL.

O spoofing da barra de endereços de URL é o pior tipo de ataque de phishing possível. Porque é a única maneira de identificar o site que o usuário está visitando, como Khan disse na época.

Fonte

Microsoft não fornece mais licenças do Windows para a Huawei

Previous article

Xbox Game Pass chega oficialmente ao Windows 10

Next article

You may also like

More in Segurança