DuckDuckGo is een van de favoriete zoekopties voor gebruikers die op de vlucht zijn voor Google en zich bewust zijn van de oorzaak van privacy op internet.
De officiële DuckDuckGo-browserextensie stelde de privacy van zijn gebruikers maandenlang bloot
Om het gebruik ervan te vergemakkelijken (en incidenteel functies toe te voegen zoals het blokkeren van netwerken voor het volgen van advertenties), hebben de makers ook extensies gelanceerd voor de belangrijkste browsers: Firefox, Chrome en MS Edge.
Het probleem is dat nu is ontdekt dat DuckDuckGo Privacy Essentials al enkele maanden de privacy van zijn gebruikers in gevaar brengt. Hoe komt het?
Kleine kwetsbaarheid, enorme potentiële gevolgen
We hebben te maken met een geval van uXSS-kwetsbaarheid (universal cross-site scripting), waarbij de aanvaller willekeurige kwaadaardige code kan injecteren in webpagina’s die door de gebruiker worden bezocht met behulp van een scripttaal (vaak JavaScript) en misbruik maakt van kwetsbaarheden aan de clientzijde.
Hierdoor heeft de aanvaller toegang tot de browsergeschiedenis en alle gevoelige informatie die door de gebruiker is ingevoerd (zoals gegevens die aan zijn bankrekening zijn gekoppeld), en kan de informatie die op het scherm van de gebruiker wordt weergegeven, worden gewijzigd.
De kans dat een aanvaller ooit een dergelijke mate van toegang krijgt, is klein, maar de potentiële resultaten zijn nog steeds rampzalig, zelfs als u een gebruiker bent van beveiligde browsertools zoals SecureDrop of ProtonMail.
Het goede nieuws is in dit geval dat dit soort aanvallen alleen kan worden uitgevoerd door iemand die de server http://staticcdn.duckduckgo.com beheert.
Dat is in principe door het bedrijf DuckDuckGo zelf. Maar het kan ook worden uitgebuit door zijn hostingprovider (niemand minder dan Microsoft, via Azure) of door een aanvaller die die server overneemt (cybercriminelen, overheidsinstanties, enz.).
Volgens Wladimir Palant, de maker van Adblock Plus, en de onderzoeker die de kwetsbaarheid oorspronkelijk ontdekte, is deze kwetsbaarheid al enkele maanden operationeel, en het is pas de afgelopen dagen geweest, met de release van versie 2021.3.8 van de extensie voor de drie grote browsers, dat het eindelijk is opgelost.