DuckDuckGo는 Google을 피하고 웹상의 개인 정보 보호의 원인을 알고 있는 사용자가 가장 좋아하는 검색 옵션 중 하나입니다.
공식 DuckDuckGo 브라우저 확장 프로그램은 몇 달 동안 사용자의 개인 정보를 노출했습니다.
따라서 더 쉽게 사용할 수 있도록(그리고 광고 추적 네트워크 차단과 같은 기능 추가) 제작자는 Firefox, Chrome 및 MS Edge와 같은 기본 브라우저용 확장 프로그램도 출시했습니다.
문제는 이제 몇 달 동안 DuckDuckGo Privacy Essentials가 사용자의 개인 정보를 위험에 빠뜨리고 있다는 사실이 밝혀졌다는 것입니다. 어때요?
작은 취약점, 큰 잠재적 결과
우리는 공격자가 일부 스크립팅 언어(종종 자바스크립트)를 사용하고 클라이언트 측 취약점을 악용하여 사용자가 방문한 웹 페이지에 임의의 악성 코드를 삽입할 수 있는 uXSS(범용 교차 사이트 스크립팅) 취약점의 경우를 다루고 있습니다.
이를 통해 공격자는 브라우저 기록 및 사용자가 입력한 모든 민감한 정보(예: 은행 계좌에 연결된 데이터)에 액세스할 수 있을 뿐만 아니라 사용자 화면에 표시되는 정보를 변경할 수 있습니다.
공격자가 이러한 수준의 액세스 권한을 얻을 가능성은 희박하지만 SecureDrop 또는 ProtonMail과 같은 보안 검색 도구를 사용하는 경우에도 잠재적인 결과는 여전히 치명적입니다.
이 경우 좋은 소식은 이러한 종류의 공격은 http://staticcdn.duckduckgo.com 서버를 제어하는 사람만 실행할 수 있다는 것입니다.
원칙적으로 DuckDuckGo 회사 자체에 의한 것입니다. 그러나 호스팅 공급자(Azure를 통해 Microsoft 외에는 없음) 또는 해당 서버를 인수하는 공격자(사이버 범죄자, 정부 기관 등)에 의해 악용될 수도 있습니다.
Adblock Plus의 창시자이자 취약점을 처음 발견한 연구원인 Wladimir Palant에 따르면, 이 취약점은 몇 달 동안 작동해 왔으며 지난 며칠간 2021.3.8 버전이 출시되었습니다. 세 가지 주요 브라우저에 대한 확장이 마침내 수정되었습니다.