Android 5.26.0系统中,开源的私人浏览器DuckDuckGo被发现存在漏洞可导致攻击,攻击者可通过该漏洞利用URL欺骗的方式发动攻击,目前该浏览器的安装量已超过500万。
安全研究员Dhiraj Mishra将这个漏洞编号为CVE-2019-12329,并通过HackOne平台的漏洞赏金计划向该应用的安全团队通知漏洞的存在。研究人员表示,他通过特定的JavaScript页面欺骗了DuckDuckGo浏览器的omnibar完成了漏洞验证,该页面使用setInterval函数,使其每10到50毫秒便可重新加载一个URL。
虽然真正的DuckDuckGo.com网站会在每50毫秒自动加载一次,但其内部的HTML会被修改为完全不同的内容用于甄别。
代码证明
研究人员表示,这个漏洞是在2018年10月31日通过HackOne平台提交给该浏览器的安全团队的,最初其威胁级别是高危,直至2019年5月27日,才得出最后的结论:这个漏洞的威胁级别并不算高危。
潜在的攻击者可以通过更改浏览器地址栏中显示的URL来欺骗用户,使他们认为自己正在浏览安全的网页,从而执行URL欺骗攻击。
DuckDuckGo omnibar的PoC
因此,不知情的用户可能会被重定向至各种由攻击者伪造的网站页面,而这些网站可能会是网络钓鱼、恶意广告,又或者是恶意软件植入,其最终的目标都会是目标用户的数据信息。
在5月初,安全研究员Arif Khan还发现UC浏览器和UC浏览器mini版也存在类似的URL欺骗攻击漏洞,而这两款App共计已安装了6亿多次。
Arif Khan表示,URL欺骗攻击是最恼人的钓鱼攻击,因为这原本应当是用户识别网站的唯一方法。
*参考来源: bleepingcomputer ,Karunesh91编译,转载请注明来自FreeBuf.COM
以上所述就是小编给大家介绍的《隐私浏览器DuckDuckGo爆出漏洞,可导致URL欺骗攻击》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- 漏洞预警 | MetInfo最新版本爆出SQL注入漏洞
- MetInfo最新版本(6.1.3)爆出SSRF漏洞
- 新近爆出的runC容器逃逸漏洞,用户如何面对?
- F5负载均衡系统爆出漏洞,谁都可以登录进去
- NEO爆出“盗币危机”?不过是“鸡肋”的RPC漏洞
- 微软Exchange爆出0day漏洞,来看POC和技术细节
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Pro HTML5 and CSS3 Design Patterns
Michael Bowers / Apress / 2011-11-15 / GBP 35.50
Pro HTML5 and CSS3 Design Patterns is a reference book and a cookbook on how to style web pages using CSS3 and HTML5. It contains 350 ready--to--use patterns (CSS3 and HTML5 code snippets) that you ca......一起来看看 《Pro HTML5 and CSS3 Design Patterns》 这本书的介绍吧!