La extensión oficial para navegadores de DuckDuckGo expuso durante meses la privacidad de sus usuarios

DuckDuckGo es una de las opciones de búsqueda favoritas de los usuarios que huyen de Google y se muestran concienciados con la causa de la privacidad en la web.

De modo que, para facilitar su uso (y de paso añadir funcionalidades como el bloqueo de redes de seguimiento publicitario) sus creadores lanzaron también extensiones para los principales navegadores: Firefox, Chrome y MS Edge.

El problema es que ahora se ha descubierto que, durante varios meses, DuckDuckGo Privacy Essentials ha estado poniendo en riesgo, precisamente, la privacidad de sus usuarios. ¿Cómo es esto?

Pequeña vulnerabilidad, enormes (potenciales) consecuencias

Nos encontramos ante un caso de vulnerabilidad uXSS (siglas en inglés de ‘universal cross-site scripting’), en la que el atacante es capaz de inyectar código malicioso arbitrario en páginas web visitadas por el usuario usando algún lenguaje de scripting (frecuentemente JavaScript) y explotando vulnerabilidades del lado del cliente.

Eso permite que el atacante pueda acceder al historial del navegador y a toda la información sensible introducida por el usuario (como los datos vinculados con su cuenta bancaria), así como alterar la información visualizada en pantalla por el usuario.

Las posibilidades de que un atacante llegue a obtener tal grado de acceso son escasas, pero los resultados potenciales siguen siendo catastróficos incluso si eres usuario de herramientas de navegación segura como SecureDrop o ProtonMail.

La buena noticia en el caso que nos ocupa es que esta clase de ataque sólo puede ser ejecutado por alguien que controle el servidor http://staticcdn.duckduckgo.com.

Es decir, en principio, por la propia compañía DuckDuckGo. Pero también podría ser aprovechado por su proveedor de alojamiento (nada menos que Microsoft, a través de Azure) o por cualquier atacante que se apodere de dicho servidor (ciberdelincuentes, agencias gubernamentales, etc.).

Según Wladimir Palant, el creador de Adblock Plus, y el investigador que detectó la vulnerabilidad originalmente, esta vulnerabilidad ha estado operativa durante varios meses, y no ha sido hasta estos últimos días, con el lanzamiento de la versión 2021.3.8 de la extensión para los tres grandes navegadores, cuando se ha solventado finalmente.

De modo que echa un vistazo a tu gestor de extensiones para asegurarte de que ya se ha actualizado correctamente.


La noticia

La extensión oficial para navegadores de DuckDuckGo expuso durante meses la privacidad de sus usuarios

fue publicada originalmente en

Genbeta

por
Marcos Merino

.