CVE-2019-12329:DuckDuckGo安卓版URL欺骗攻击

ang010ela 漏洞 2019年6月3日发布
Favorite收藏

导语:研究人员发现开源的DuckDuckGo隐私浏览器安卓版存在URL地址欺骗攻击漏洞。

开源DuckDuckGo隐私浏览器安卓版5.26.0的安装量超过500万,通过利用地址栏欺骗漏洞攻击者很容易就开源发起针对app用户的URL欺骗攻击。安全研究人员Dhiraj Mishra将该漏洞详情报告给了厂商,该漏洞CVE编号为CVE-2019-12329

研究人员在特别伪造的JS页面的帮助下证明了可以欺骗DuckDuckGo隐私浏览器的omnibar,该页面使用setInterval函数每10到50秒重加载URL一次。

因为真实的duckduckgo.com网站每50ms就自动加载一次,内部HTML被修改后展示的内容与Mishra博客的内容完全不同。

Proof of concept

PoC

研究人员早在2018年10月31日就提交了该漏洞,但直到2019年5月27日才被告知并不是一个严重的问题。攻击者可以修改有漏洞的web浏览器的地址栏中展示的URL来引诱受害者认为他们访问的网站受控于可信的第三方。

但实际上该站点是被发起攻击的恶意攻击者控制的,攻击者滥用地址栏欺骗漏洞就会出现这样的情况。

DuckDuckGo Privacy Browser for Android spoofed omnibar

DuckDuckGo omnibar欺骗攻击PoC

没有意识到危险的受害者就会被重定向到伪装为各种高知名度的站点,这些站点可以让攻击者通过钓鱼加载页面或通过垃圾广告活动在受害者机器上释放恶意软件的方式来窃取目标的信息。

在5月初,安全研究人员Arif Khan还发现了UC浏览器和UC浏览器Mini安卓版应用的URL地址欺骗攻击。URL地址栏欺骗是最恶劣的一种钓鱼攻击,因为这是唯一一种识别用户访问的站点的方式。

本文翻译自:https://www.bleepingcomputer.com/news/security/duckduckgo-android-browser-vulnerable-to-url-spoofing-attacks/如若转载,请注明原文地址: https://www.4hou.com/vulnerable/18293.html
点赞 2
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论