Независимый исследователь Дхирадж Мишра (Dhiraj Mishra) обнаружил уязвимость в Android-версии браузера DuckDuckGo (версия 5.26.0), который был загружен и установлен более 5 000 000 раз.
Баг получил идентификатор CVE-2019-12329 и позволяет подменить URL в адресной строке защищенного браузера, обманув пользователя. Проблема по-прежнему не устранена, хотя исследователь сообщил о ней через платформу HackerOne еще в октябре 2018 года. После продолжительно дискуссии разработчики DuckDuckGo предпочли отметить отчет об уязвимости как «информативный», заплатили эксперту вознаграждения, но сообщили, не рассматривают описанный баг, как серьезную уязвимость.
Суть проблемы заключается в том, что содержимое адресной строки DuckDuckGo можно подделать при помощи специальной JavaScript-страницы, которая использует функцию setInterval для перезагрузки URL каждый 10-50 миллисекунд. Тогда как настоящий сайт duckduckgo.com автоматически грузится каждый 50 миллисекунд, исследователь сумел добиться отображения совершенно иного контента в самом браузере. PoC-эксплоит можно увидеть ниже.
ИБ-специалисты недаром называют подобные уязвимости и атаки на них наихудшим из всех видов фишинга. Ведь если пользователь не может доверять даже адресной строке своего браузера, дело определенно плохо.
