DuckDuckGoは、Googleから逃げ出し、ウェブ上のプライバシーの原因を認識しているユーザーに人気の検索オプションの1つです。
公式のDuckDuckGoブラウザ拡張機能は、ユーザーのプライバシーを数か月間公開しました
そのため、使いやすくするために(そして、偶然にも広告追跡ネットワークのブロックなどの機能を追加するために)、その作成者はメインブラウザ(Firefox、Chrome、MS Edge)の拡張機能も立ち上げました。
問題は、DuckDuckGo Privacy Essentialsが、正確にはユーザーのプライバシーを危険にさらしていることが数か月間発見されたことです。 どうして?
小さな脆弱性、大きな潜在的な結果
uXSS(ユニバーサルクロスサイトスクリプティング)の脆弱性のケースを扱っています。この脆弱性では、攻撃者がスクリプト言語(多くの場合JavaScript)を使用し、クライアント側の脆弱性を悪用して、ユーザーがアクセスしたWebページに任意の悪意のあるコードを挿入できます。
これにより、攻撃者はブラウザの履歴とユーザーが入力したすべての機密情報(銀行口座にリンクされたデータなど)にアクセスしたり、ユーザーの画面に表示される情報を変更したりできます。
攻撃者がこのような程度のアクセスを取得する可能性はわずかですが、SecureDropやProtonMailなどの安全なブラウジングツールを使用している場合でも、潜在的な結果は壊滅的です。
この場合の朗報は、この種の攻撃はサーバーhttp://staticcdn.duckduckgo.comを制御する誰かによってのみ実行できるということです。
つまり、原則として、DuckDuckGo会社自体によるものです。 ただし、ホスティングプロバイダー(Microsoft以外、Azure経由)や、そのサーバーを乗っ取る攻撃者(サイバー犯罪者、政府機関など)によっても悪用される可能性があります。
Adblock Plusの作成者であり、この脆弱性を最初に検出した研究者であるWladimir Palantによると、この脆弱性は数か月間運用されており、バージョン2021.3.8のリリースでここ数日まで稼働していません。 3つの主要なブラウザの拡張機能で、最終的に修正されました。
