Android 5.26.0系统中,开源的私人浏览器DuckDuckGo被发现存在漏洞可导致攻击,攻击者可通过该漏洞利用URL欺骗的方式发动攻击,目前该浏览器的安装量已超过500万。

安全研究员Dhiraj Mishra将这个漏洞编号为CVE-2019-12329,并通过HackOne平台的漏洞赏金计划向该应用的安全团队通知漏洞的存在。研究人员表示,他通过特定的JavaScript页面欺骗了DuckDuckGo浏览器的omnibar完成了漏洞验证,该页面使用setInterval函数,使其每10到50毫秒便可重新加载一个URL。中国菜刀

虽然真正的DuckDuckGo.com网站会在每50毫秒自动加载一次,但其内部的HTML会被修改为完全不同的内容用于甄别。

代码证明

研究人员表示,这个漏洞是在2018年10月31日通过HackOne平台提交给该浏览器的安全团队的,最初其威胁级别是高危,直至2019年5月27日,才得出最后的结论:这个漏洞的威胁级别并不算高危。天空彩

潜在的攻击者可以通过更改浏览器地址栏中显示的URL来欺骗用户,使他们认为自己正在浏览安全的网页,从而执行URL欺骗攻击。

DuckDuckGo omnibar的PoC

因此,不知情的用户可能会被重定向至各种由攻击者伪造的网站页面,而这些网站可能会是网络钓鱼、恶意广告,又或者是恶意软件植入,其最终的目标都会是目标用户的数据信息。

在5月初,安全研究员Arif Khan还发现UC浏览器和UC浏览器mini版也存在类似的URL欺骗攻击漏洞,而这两款App共计已安装了6亿多次。

Arif Khan表示,URL欺骗攻击是最恼人的钓鱼攻击,因为这原本应当是用户识别网站的唯一方法。 隐私浏览器DuckDuckGo爆出漏洞,可导致URL欺骗攻击

隐私浏览器DuckDuckGo爆出漏洞,可导致URL欺骗攻击相关推荐

  1. LibreOffice、OpenOffice 漏洞可导致黑客欺骗已签名文档

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 LibreOffice 和 OpenOffice 推出更新,修复了一个漏洞,它可导致攻击者操纵看似由可信来源签名的文档. 尽管该漏洞被评级为中危 ...

  2. 浏览器安全检查己通过_小米薄荷浏览器URl欺骗漏洞(CVE-2019-10875)的安全修复被绕过...

    前几日,网络上曝出小米薄荷浏览器存在URL欺骗漏洞,攻击者可把恶意链接伪装成权威网站的URL,对受害者进行钓鱼攻击.小米公司在收到报告后迅速发布了安全补丁,修复了这一漏洞.但近期,又有人曝出该安全补丁 ...

  3. 多个高危漏洞可导致 Chrome 浏览器被黑

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 谷歌更新 Chrome Web 浏览器,共修复了8个漏洞,其中4个事高危级别:3个是释放后使用漏洞,可导致攻击者在浏览器内存中生成错误 ...

  4. 严重的 iOS 漏洞可导致拒绝服务或任意代码执行,苹果已修复

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 苹果发布安全更新,解决数十个 iOS 和 macOS 漏洞,其中包括一个严重的名为 "WiFiDemon" 的 iOS ...

  5. Brave 安全隐私浏览器

    文章目录 Brave浏览器 什么是Brave浏览器 和其他浏览器对比 参考 Brave浏览器 官网:https://www.brave.com https://github.com/brave/bra ...

  6. android 自由浏览器下载地址,安卓浏览器现重大漏洞

    原标题:安卓浏览器现重大漏洞 UC浏览器成唯一幸存者 近日,有国外安全研究者爆出了安卓系统上浏览器安全机制绕过漏洞(CVE-2014-6041),并且提供了相应的漏洞测试代码.国内著名安全漏洞平台乌云 ...

  7. MongoDB数据库因安全漏洞,导致Family Locator泄露二十多万名用户数据

    摘要:本月第二次,未受保护的MongoDB数据库因大量安全漏洞而导致敏感信息泄露,受欢迎的家庭跟踪应用程序Family Locator已经暴露了超过238,000名用户的实时未加密位置数据. 该应用程 ...

  8. CPU漏洞可导致RSA被攻击

    [赛迪网讯]消息,据国外媒体报道,以色列魏兹曼科学院教授Adi Shamir近日表示,PC处理器在理论上存在的数学漏洞将导致RSA加密算法遭到攻击,从而使全球电子商务陷入灾难. 目前,RSA算法被广泛 ...

  9. 余承东吐槽苹果续航;微软 IE 浏览器被曝漏洞;React Native 0.61.0 发布 | 极客头条...

    快来收听极客头条音频版吧,智能播报由标贝科技提供技术支持. 「CSDN 极客头条」,是从 CSDN 网站延伸至官方微信公众号的特别栏目,专注于一天业界事报道.风里雨里,我们将每天为朋友们,播报最新鲜有 ...

  10. 堪比“震网”:罗克韦尔PLC严重漏洞可导致攻击者在系统中植入恶意代码

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 罗克韦尔自动化公司的可编程逻辑控制器 (PLCs) 和工程工作站软件中存在两个新的安全漏洞(CVE-2022-1161 和 CVE-2022-1 ...

最新文章

  1. 工作中linux定时任务的设置及相关配置
  2. NAT概念解释(不完全版,但不会搞错...)
  3. 爬虫批量下载全站小说并自动保存
  4. 腾讯云全面更新数据智能服务全景图!
  5. java 圆 继承_java 类的继承(转)
  6. docker anaconda_深度学习炼丹炉配置[1] Docker+sshfs环境配置
  7. iOS的view翻转动画实现--代码老,供参考
  8. mysql group_concat拼接字符串长度
  9. Cipher文件加密
  10. 【转】PIC单片机入门笔记(新手学PIC必看)——基于PIC16F886
  11. 穿越技术火线,聆听内心声音——暨龙泉第三届IT禅修营
  12. linux中双方同步unison服务器搭建
  13. DigiCert EV证书怎么样 DigiCert EV证书优势分析
  14. MongoDB Master-Slaver集群部署
  15. 小米怎么快速回到顶部_拆解报告:小米小爱鼠标采用炬芯ATB110X蓝牙物联网方案 -...
  16. 02 - 典型相关性分析(Canonical Correlation Analysis)
  17. 搜狗在任务栏的“天猫618炒鸡红包”如何关闭
  18. 点赋网络:网店详情页设计中应包含哪些设计元素
  19. Win10 中文输入法关闭 Ctrl+Shift+B 快捷键
  20. 1310327-18-4,Cbz-N-amido-PEG3-acid受保护的胺可以在酸性条件下脱保护

热门文章

  1. 刑法285.286.287 条
  2. 码~ps基本概念知识
  3. 修改Win10 C盘用户文件夹名称
  4. 飞猪前端笔试题答案 仅跑过用例不保证健壮
  5. 高电平、低电平、高电平有效、低电平有效
  6. 小巷开店问题(答案揭晓)
  7. 传统数据与大数据处理方式对比
  8. 立波 iphone3gs越狱教程:成功把iphone3gs手机升级成ios6.1.3系统,完美越狱,解决no service和耗电量大的问题...
  9. 使用开源软件的优点和缺点是什么
  10. 百度地图迁徙大数据_百度地图迁徙大数据:复工后北上广深城内出行年后首次大幅增长...