DuckDuckGo ist eine der beliebtesten Suchoptionen für Nutzer, die vor Google fliehen und sich der Ursache für den Datenschutz im Web bewusst sind.
Die offizielle DuckDuckGo-Browsererweiterung hat die Privatsphäre ihrer Benutzer monatelang offengelegt
Um die Verwendung zu vereinfachen (und im Übrigen Funktionen wie das Blockieren von Anzeigenverfolgungsnetzwerken hinzuzufügen), haben die Entwickler auch Erweiterungen für die Hauptbrowser eingeführt: Firefox, Chrome und MS Edge.
Das Problem ist, dass jetzt festgestellt wurde, dass DuckDuckGo Privacy Essentials seit mehreren Monaten genau die Privatsphäre seiner Benutzer gefährdet. Wieso das?
Kleine Verwundbarkeit, große potenzielle Konsequenzen
Wir haben es mit einem Fall von uXSS-Sicherheitsanfälligkeit (Universal Cross-Site Scripting) zu tun, bei dem der Angreifer mithilfe einer Skriptsprache (häufig JavaScript) beliebigen bösartigen Code in Webseiten einfügen kann, die vom Benutzer besucht werden, und clientseitige Sicherheitsanfälligkeiten ausnutzt.
Auf diese Weise kann der Angreifer auf den Browserverlauf und alle vom Benutzer eingegebenen vertraulichen Informationen (z. B. mit seinem Bankkonto verknüpfte Daten) zugreifen und die auf dem Bildschirm des Benutzers angezeigten Informationen ändern.
Die Chancen, dass ein Angreifer jemals einen solchen Zugriff erhält, sind gering, aber die potenziellen Ergebnisse sind immer noch katastrophal, selbst wenn Sie sichere Browsing-Tools wie SecureDrop oder ProtonMail verwenden.
Die gute Nachricht in diesem Fall ist, dass diese Art von Angriff nur von jemandem ausgeführt werden kann, der den Server http://staticcdn.duckduckgo.com kontrolliert.
Das ist im Prinzip von der Firma DuckDuckGo selbst. Es kann aber auch von seinem Hosting-Anbieter (kein anderer als Microsoft über Azure) oder von einem Angreifer, der diesen Server übernimmt (Cyberkriminelle, Regierungsbehörden usw.), ausgenutzt werden.
Laut Wladimir PalantAls Ersteller von Adblock Plus und als Forscher, der die Sicherheitsanfälligkeit ursprünglich entdeckt hat, ist diese Sicherheitsanfälligkeit seit mehreren Monaten in Betrieb und erst in den letzten Tagen mit der Veröffentlichung der Version 2021.3.8 der Erweiterung für die drei Hauptbrowser, dass es endlich behoben wurde.
