DuckDuckGo es una de las opciones de búsqueda favoritas de los usuarios que huyen de Google y están concienciados con la causa de la privacidad en la web.
La extensión oficial del navegador DuckDuckGo expuso durante meses la privacidad de sus usuarios
AsÃ, para facilitar su uso (y de paso añadir funciones como el bloqueo de redes de seguimiento de publicidad) sus creadores también lanzaron extensiones para los principales navegadores: Firefox, Chrome y MS Edge.
El problema es que ahora se ha descubierto que, desde hace varios meses, DuckDuckGo Privacy Essentials está poniendo en riesgo, precisamente, la privacidad de sus usuarios. ¿Cómo es eso?
Pequeña vulnerabilidad, enormes consecuencias potenciales
Estamos ante un caso de vulnerabilidad uXSS (universal cross-site scripting), en el que el atacante puede inyectar código malicioso arbitrario en páginas web visitadas por el usuario utilizando algún lenguaje de scripting (a menudo JavaScript) y explotando vulnerabilidades del lado del cliente.
Esto permite al atacante acceder al historial del navegador y a toda la información confidencial ingresada por el usuario (como los datos vinculados a su cuenta bancaria), además de alterar la información que se muestra en la pantalla del usuario.
Las posibilidades de que un atacante obtenga tal grado de acceso son escasas, pero los resultados potenciales siguen siendo catastróficos incluso si usted es un usuario de herramientas de navegación segura como SecureDrop o ProtonMail.
La buena noticia, en este caso, es que este tipo de ataque sólo puede ser ejecutado por alguien que controle el servidor http://staticcdn.duckduckgo.com.
Eso es, en principio, por parte de la propia empresa DuckDuckGo. Pero también podrÃa ser explotado por su proveedor de hosting (nada menos que Microsoft, a través de Azure) o por un atacante que se apodere de ese servidor (ciberdelincuentes, agencias gubernamentales, etc.).
Según WladÃmir Palantcreador de Adblock Plus, e investigador que detectó originalmente la vulnerabilidad, esta vulnerabilidad lleva varios meses operativa, y no lo ha sido hasta los últimos dÃas, con el lanzamiento de la versión 2021.3.8 de la extensión para los tres. principales navegadores, que finalmente se ha solucionado.
