DuckDuckGo è una delle opzioni di ricerca preferite per gli utenti che fuggono da Google e sono consapevoli della causa della privacy sul web.
L’estensione ufficiale del browser DuckDuckGo ha esposto la privacy dei suoi utenti per mesi
Quindi, per renderlo più facile da usare (e per inciso aggiungere funzionalità come il blocco delle reti di tracciamento degli annunci) i suoi creatori hanno anche lanciato estensioni per i principali browser: Firefox, Chrome e MS Edge.
Il problema è che ormai si è scoperto che, da diversi mesi, DuckDuckGo Privacy Essentials sta mettendo a rischio, per l’appunto, la privacy dei suoi utenti. Come mai?
Piccola vulnerabilità, enormi potenziali conseguenze
Si tratta di un caso di vulnerabilità uXSS (universal cross-site scripting), in cui l’attaccante può iniettare codice dannoso arbitrario nelle pagine web visitate dall’utente utilizzando un linguaggio di scripting (spesso JavaScript) e sfruttando le vulnerabilità lato client.
Ciò consente all’aggressore di accedere alla cronologia del browser ea tutte le informazioni sensibili inserite dall’utente (come i dati collegati al proprio conto bancario), nonché di alterare le informazioni visualizzate sullo schermo dell’utente.
Le possibilità che un utente malintenzionato ottenga un tale grado di accesso sono scarse, ma i potenziali risultati sono ancora catastrofici anche se sei un utente di strumenti di navigazione sicuri come SecureDrop o ProtonMail.
La buona notizia, in questo caso, è che questo tipo di attacco può essere eseguito solo da qualcuno che controlla il server http://staticcdn.duckduckgo.com.
Cioè, in linea di principio, dalla stessa società DuckDuckGo. Ma potrebbe anche essere sfruttato dal suo provider di hosting (nientemeno che Microsoft, tramite Azure) o da un aggressore che prende il controllo di quel server (criminali informatici, agenzie governative, ecc.).
Secondo Wladimir Palant, il creatore di Adblock Plus e il ricercatore che ha originariamente rilevato la vulnerabilità, questa vulnerabilità è operativa da diversi mesi e lo è stata solo negli ultimi giorni, con il rilascio della versione 2021.3.8 dell’estensione per i tre principali browser, che è stato finalmente risolto.
