CVE-2019-12329:DuckDuckGo安卓版URL欺骗攻击

开源DuckDuckGo隐私浏览器安卓版5.26.0的安装量超过500万，通过利用地址栏欺骗漏洞攻击者很容易就开源发起针对app用户的URL欺骗攻击。安全研究人员Dhiraj Mishra将该漏洞详情报告给了厂商，该漏洞CVE编号为 CVE-2019-12329 。

研究人员在特别伪造的JS页面的帮助下证明了可以欺骗DuckDuckGo隐私浏览器的omnibar，该页面使用setInterval函数每10到50秒重加载URL一次。

因为真实的duckduckgo.com网站每50ms就自动加载一次，内部HTML被修改后展示的内容与Mishra博客的内容完全不同。

PoC

研究人员早在2018年10月31日就提交了该漏洞，但直到2019年5月27日才被告知并不是一个严重的问题。攻击者可以修改有漏洞的web浏览器的地址栏中展示的URL来引诱受害者认为他们访问的网站受控于可信的第三方。

但实际上该站点是被发起攻击的恶意攻击者控制的，攻击者滥用地址栏欺骗漏洞就会出现这样的情况。

DuckDuckGo omnibar欺骗攻击PoC

没有意识到危险的受害者就会被重定向到伪装为各种高知名度的站点，这些站点可以让攻击者通过钓鱼加载页面或通过垃圾广告活动在受害者机器上释放恶意软件的方式来窃取目标的信息。

在5月初，安全研究人员Arif Khan还发现了UC浏览器和UC浏览器Mini安卓版应用的URL地址欺骗攻击。URL地址栏欺骗是最恶劣的一种钓鱼攻击，因为这是唯一一种识别用户访问的站点的方式。