CVE-2019-12329：DuckDuckGo安卓版URL欺騙攻擊

開源DuckDuckGo隱私瀏覽器安卓版5.26.0的安裝量超過500萬，通過利用地址欄欺騙漏洞攻擊者很容易就開源發起針對app用戶的URL欺騙攻擊。安全研究人員Dhiraj Mishra將該漏洞詳情報告給了廠商，該漏洞CVE編號為CVE-2019-12329。

研究人員在特別偽造的JS頁面的幫助下證明了可以欺騙DuckDuckGo隱私瀏覽器的omnibar，該頁面使用setInterval函數每10到50秒重載入URL一次。

因為真實的duckduckgo.com網站每50ms就自動載入一次，內部HTML被修改後展示的內容與Mishra博客的內容完全不同。

研究人員早在2018年10月31日就提交了該漏洞，但直到2019年5月27日才被告知並不是一個嚴重的問題。攻擊者可以修改有漏洞的web瀏覽器的地址欄中展示的URL來引誘受害者認為他們訪問的網站受控於可信的第三方。

但實際上該站點是被發起攻擊的惡意攻擊者控制的，攻擊者濫用地址欄欺騙漏洞就會出現這樣的情況。

沒有意識到危險的受害者就會被重定向到偽裝為各種高知名度的站點，這些站點可以讓攻擊者通過釣魚載入頁面或通過垃圾廣告活動在受害者機器上釋放惡意軟體的方式來竊取目標的信息。

在5月初，安全研究人員Arif Khan還發現了UC瀏覽器和UC瀏覽器Mini安卓版應用的URL地址欺騙攻擊。URL地址欄欺騙是最惡劣的一種釣魚攻擊，因為這是唯一一種識別用戶訪問的站點的方式。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！