URL hamisítást tesz lehetővé a DuckDuckGo mobil böngésző sérülékenysége

 

A DuckDuckGo mobil böngésző androidos verziójának egy hibája lehetővé teszi, hogy egy új weboldal betöltésekor az URL módosuljon a megadottra, azonban maga a HTML oldal ne töltődjön be. Mindez alkalmas lehet a felhasználók megtévesztésére, ugyanis a weboldal tartalma nem fog megegyezni a címsorban szereplővel. A problémát felfedező Dhiraj Mishra biztonsági kutató a HackerOne hibavadász (bug bounty) program keretében 2018. október 31-én jelentette a sérülékenységet (CVE-2019-12329) a böngésző biztonsági csapatának, amelyet 2019. május 27-ig magas biztonsági besorolással kezeltek. A cég azonban úgy tűnik mégsem tekinti mindezt komoly problémának, ugyanis javítás nélkül zárták a hibajegyet, és már csak „tájékoztatás” megjelöléssel szerepel a nyilvántartásban.

(www.bleepingcomputer.com)