DuckDuckGo is een van de favoriete zoekopties voor gebruikers die op de vlucht zijn voor Google en zich bewust zijn van de oorzaak van privacy op internet.

De officiële DuckDuckGo-browserextensie stelde de privacy van zijn gebruikers maandenlang bloot

Om het gebruik ervan te vergemakkelijken (en incidenteel functies toe te voegen zoals het blokkeren van netwerken voor het volgen van advertenties), hebben de makers ook extensies gelanceerd voor de belangrijkste browsers: Firefox, Chrome en MS Edge.

Het probleem is dat nu is ontdekt dat DuckDuckGo Privacy Essentials al enkele maanden de privacy van zijn gebruikers in gevaar brengt. Hoe komt het?

You Might Also Like
Overwatch 2 0 spelers voor je fout: hoe dit op te lossen?
Overwatch 2 0 spelers voor je fout: hoe dit op te lossen?
Tower of Fantasy wapenniveaulijst: welk wapen is het beste?
Tower of Fantasy wapenniveaulijst: welk wapen is het beste?
Pinterest-rapport: waarom zijn mannen van plan meer uit te geven in 2022?
Pinterest-rapport: waarom zijn mannen van plan meer uit te geven in 2022?

Kleine kwetsbaarheid, enorme potentiële gevolgen

We hebben te maken met een geval van uXSS-kwetsbaarheid (universal cross-site scripting), waarbij de aanvaller willekeurige kwaadaardige code kan injecteren in webpagina’s die door de gebruiker worden bezocht met behulp van een scripttaal (vaak JavaScript) en misbruik maakt van kwetsbaarheden aan de clientzijde.

  De Turkse minister van Economische Zaken besprak de invoering van de SHIB met de burgers

Hierdoor heeft de aanvaller toegang tot de browsergeschiedenis en alle gevoelige informatie die door de gebruiker is ingevoerd (zoals gegevens die aan zijn bankrekening zijn gekoppeld), en kan de informatie die op het scherm van de gebruiker wordt weergegeven, worden gewijzigd.

De kans dat een aanvaller ooit een dergelijke mate van toegang krijgt, is klein, maar de potentiële resultaten zijn nog steeds rampzalig, zelfs als u een gebruiker bent van beveiligde browsertools zoals SecureDrop of ProtonMail.

Het goede nieuws is in dit geval dat dit soort aanvallen alleen kan worden uitgevoerd door iemand die de server http://staticcdn.duckduckgo.com beheert.

Dat is in principe door het bedrijf DuckDuckGo zelf. Maar het kan ook worden uitgebuit door zijn hostingprovider (niemand minder dan Microsoft, via Azure) of door een aanvaller die die server overneemt (cybercriminelen, overheidsinstanties, enz.).

  Specificaties van Huawei Nova 8 en Nova 8 Pro gelekt: hoge verversingssnelheid van het scherm en snel opladen van 66 W

Volgens Wladimir Palant, de maker van Adblock Plus, en de onderzoeker die de kwetsbaarheid oorspronkelijk ontdekte, is deze kwetsbaarheid al enkele maanden operationeel, en het is pas de afgelopen dagen geweest, met de release van versie 2021.3.8 van de extensie voor de drie grote browsers, dat het eindelijk is opgelost.