20 mar 2021

uXSS en DuckDuckGo permitía espiar usuarios

DuckDuckGo es una de las opciones de búsqueda favoritas de los usuarios que huyen de Google y se muestran concienciados con la causa de la privacidad en la web.

De modo que, para facilitar su uso (y de paso añadir funcionalidades como el bloqueo de redes de seguimiento publicitario) sus creadores lanzaron también extensiones para los principales navegadores: Firefox, Chrome y MS Edge.

El problema es que ahora se ha descubierto que, durante varios meses, DuckDuckGoPrivacy Essentials ha estado poniendo en riesgo, precisamente, la privacidad de sus usuarios. ¿Cómo es esto?

Nos encontramos ante un caso de vulnerabilidad uXSS (siglas en inglés de 'universal Cross-Site Scripting'), en la que el atacante es capaz de inyectar código malicioso arbitrario en páginas web visitadas por el usuario usando algún lenguaje de scripting (frecuentemente JavaScript) y explotando vulnerabilidades del lado del cliente. Eso permite que el atacante pueda acceder al historial del navegador y a toda la información sensible introducida por el usuario (como los datos vinculados con su cuenta bancaria), así como alterar la información visualizada en pantalla por el usuario.

Las posibilidades de que un atacante llegue a obtener tal grado de acceso son escasas, pero los resultados potenciales siguen siendo catastróficos incluso si eres usuario de herramientas de navegación segura como SecureDrop o ProtonMail.

La buena noticia en el caso que nos ocupa es que esta clase de ataque sólo puede ser ejecutado por alguien que controle el servidor http://staticcdn.duckduckgo.com.

Es decir, en principio, por la propia compañía DuckDuckGo. Pero también podría ser aprovechado por su proveedor de alojamiento (nada menos que Microsoft, a través de Azure) o por cualquier atacante que se apodere de dicho servidor (ciberdelincuentes, agencias gubernamentales, etc.).

Según Wladimir Palant, el creador de Adblock Plus, y el investigador que detectó la vulnerabilidad originalmente, esta vulnerabilidad ha estado operativa durante varios meses, y no ha sido hasta estos últimos días, con el lanzamiento de la versión 2021.3.8 de la extensión para los tres grandes navegadores, cuando se ha solventado finalmente.

De modo que echa un vistazo a tu gestor de extensiones para asegurarte de que ya se ha actualizado correctamente.

Fuente: Genbeta

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!