Saltar al contenido
Cacharreros de la Web

El navegador de Android DuckDuckGo es vulnerable a los ataques de falsificación de URL

DuckDuckGo es vulnerable en Android
Valora este contenido

El navegador DuckDuckGo es vulnerable en Android. La versión 5.26.0 con más de 5 millones de instalaciones permite, que se haga posible que un cracker pueda lanzar ataques de falsificaciones de URL dirigidos a los usuarios. La vulnerabilidad tiene que ver con la falsificación de la barra de direcciones.

La falla rastreada como CVE-2019-12329, fue encontrada por el investigador de seguridad Dhiraj Mishra. Y debidamente fue reportada al equipo de seguridad de las aplicaciones a través del programa de recompensas. El programa de vulnerabilidades y recompensan es liderado por HackerOne.

Dhiraj Mishra asegura que la prueba de concepto que llevo a cabo funciona falsificando el omnibox del navegador de privacidad DuckDuckGo. Con la ayuda de una página JavaScript especialmente diseñada que hace uso de la función setInterval para recargar una URL cada 10 a 50 ms.

Mientras que el sitio web real duckduckgo.com se carga automáticamente cada 50 ms, el HTML interno se modifica para mostrar contenido completamente diferente, como se explica en la entrada del blog de Mishra.

El investigador de seguridad Dhiraj Mishra menciona a BleepingComputer:

«La vulnerabilidad fue enviada al equipo de seguridad del navegador a través de HackerOne el 31 de octubre de 2018, el error fue marcado como alto. Y la discusión fue hasta el 27 de mayo de 2019. Pero se concluye que esto «no parece ser un problema serio» y marcaron el error como informativo, sin embargo, se me otorgó un botín de DuckDuckGo.»

DuckDuckGo es vulnerable en Android y el atacante puede falsificar URL

Este fallo le da la posibilidad al delincuente informático de poder realizar ataques de falsificación de URL. Haciéndole creer a las víctimas que en el sitio web donde está navegando es de confianza.

No obstante, el sitio web en realidad estará en manos de los delincuentes que ejecutan el ataque. De esta manera, las víctimas serán redirigidas a dominios camuflados y falsos que se llevaran su información personal.

Por otro lado, el atacante podrá utilizar páginas de destino de phishing donde la víctima, se llevara malware en sus ordenadores a través de campañas de publicidad maliciosa.

Finalmente, ¿tú qué opinas de esta nueva nota? ¿Sera un problema real como lo comenta el investigador de seguridad Dhiraj Mishra o simplemente es algo sin importancia como lo menciona DuckDuckGo?

Entradas relacionadas

Déjanos tu Aportes