DuckDuckGo安卓浏览器存漏洞，攻击者可伪造浏览器显示网址

据国外媒体报道，基于安卓5.26.0版本的开源DuckDuckGo隐私浏览器安装量目前已经超过500万次，众多的用户吸引潜在的威胁行为者通过利用地址栏URL欺骗漏洞来发起攻击。

CVE-2019-12329漏洞

安全研究员Dhiraj Mishra发现该漏洞为CVE-2019-12329，并通过DuckDuckGo的HackerOne漏洞悬赏计划向其安全团队报告了这一情况。

该研究员表示，他设计的概念验证通过在特制JavaScript页面的帮助下进入伪装DuckDuckGo隐私浏览器的omnibar，该JavaScript页面利用setInterval函数每10到50毫秒重新加载一个URL。虽然真正的DuckDuckGo网站每50毫秒自动加载一次，但其内部HTML会被修改为完全不同的内容，如Mishra发表博文中所述的那样。

概念验证

研究人员进一步表示，“这个漏洞最早是在2018年10月31日通过HackerOne平台提交给浏览器安全团队的，最初这个漏洞等级标记为高危。就此漏洞的讨论一直持续到2019年5月27日，最终安全团队得出结论：这似乎不是一个严重的问题。”

但Mishra坚持认为，潜在的攻击者可以轻易通过更改Web浏览器地址栏中显示的URL来欺骗他们的受害者，使他们认为当前正在浏览的网站是由受信任方控制的，从而执行URL欺骗攻击。事实上，该网站早已在威胁行为者的控制之中。

因此，不知情的网址访问者将被重定向到伪装成各种高端网站的域名，而这些恶意网站的真实目的则是通过一系列网络钓鱼登陆页面或恶意广告活动在受害者计算机上部署各种恶意软件来窃取目标信息。

URL欺骗攻击

URL欺骗攻击基于攻击者更改Web浏览器地址栏中显示的URL的能力，以诱使其目标认为加载的网站由受信任方控制。

今年4月，网络上曝出小米薄荷浏览器存在URL欺骗漏洞，攻击者可把恶意链接伪装成权威网站的URL，对受害者进行钓鱼攻击。小米公司在收到报告后迅速发布了安全补丁，修复了这一漏洞。但近期，又有人曝出该安全补丁不够严谨，轻易就可绕过。

5月初，安全研究员Arif Khan曾发现用户多达6亿的UC浏览器系列应用程序也被威胁行为者进行了URL欺骗攻击。“URL地址栏欺骗是最糟糕的网络钓鱼攻击，因为这是识别用户访问网站的唯一方法，”当时Khan说道。

声明：本文来自MottoIN，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。