TechBriefly IT
  • Tech
  • Business
  • Geek
  • Science
  • How to
  • about
    • Sur Tech Briefly
    • Modalités et Conditions
    • Politique de Confidentialité
    • Contact Us
Social icon element need JNews Essential plugin to be activated.
No Result
View All Result
TechBriefly IT
No Result
View All Result
Home Tech Internet

L’estensione ufficiale del browser DuckDuckGo ha esposto la privacy dei suoi utenti per mesi

byBarış Selman
19/03/2021
in Internet, Tech
Reading Time: 2 mins read
Follow us on Google News

DuckDuckGo è una delle opzioni di ricerca preferite per gli utenti che fuggono da Google e sono consapevoli della causa della privacy sul web.

L’estensione ufficiale del browser DuckDuckGo ha esposto la privacy dei suoi utenti per mesi

Quindi, per renderlo più facile da usare (e per inciso aggiungere funzionalità come il blocco delle reti di tracciamento degli annunci) i suoi creatori hanno anche lanciato estensioni per i principali browser: Firefox, Chrome e MS Edge.

Il problema è che ormai si è scoperto che, da diversi mesi, DuckDuckGo Privacy Essentials sta mettendo a rischio, per l’appunto, la privacy dei suoi utenti. Come mai?

Piccola vulnerabilità, enormi potenziali conseguenze

Si tratta di un caso di vulnerabilità uXSS (universal cross-site scripting), in cui l’attaccante può iniettare codice dannoso arbitrario nelle pagine web visitate dall’utente utilizzando un linguaggio di scripting (spesso JavaScript) e sfruttando le vulnerabilità lato client.

  La serie Huawei Mate 50 debutterà nel primo trimestre del 2022

Ciò consente all’aggressore di accedere alla cronologia del browser ea tutte le informazioni sensibili inserite dall’utente (come i dati collegati al proprio conto bancario), nonché di alterare le informazioni visualizzate sullo schermo dell’utente.

Le possibilità che un utente malintenzionato ottenga un tale grado di accesso sono scarse, ma i potenziali risultati sono ancora catastrofici anche se sei un utente di strumenti di navigazione sicuri come SecureDrop o ProtonMail.

La buona notizia, in questo caso, è che questo tipo di attacco può essere eseguito solo da qualcuno che controlla il server http://staticcdn.duckduckgo.com.

Cioè, in linea di principio, dalla stessa società DuckDuckGo. Ma potrebbe anche essere sfruttato dal suo provider di hosting (nientemeno che Microsoft, tramite Azure) o da un aggressore che prende il controllo di quel server (criminali informatici, agenzie governative, ecc.).

Secondo Wladimir Palant, il creatore di Adblock Plus e il ricercatore che ha originariamente rilevato la vulnerabilità, questa vulnerabilità è operativa da diversi mesi e lo è stata solo negli ultimi giorni, con il rilascio della versione 2021.3.8 dell’estensione per i tre principali browser, che è stato finalmente risolto.

  Gli utenti di Telegram e Signal aumentano dopo le modifiche alla privacy di WhatsApp
Tags: deidelutenti
TechBriefly IT

© 2021 TechBriefly is a Linkmedya brand.

Follow Us

Social icon element need JNews Essential plugin to be activated.
No Result
View All Result
  • Tech
  • Business
  • Geek
  • Science
  • How to
  • about
    • Sur Tech Briefly
    • Modalités et Conditions
    • Politique de Confidentialité
    • Contact Us

This website uses cookies. By continuing to use this website you are giving consent to cookies being used. Visit our Privacy and Cookie Policy.