DuckDuckGo é uma das opções de pesquisa favoritas para usuários que fogem do Google e estão cientes da causa da privacidade na web.
A extensão oficial do navegador DuckDuckGo expôs a privacidade de seus usuários por meses
Portanto, para facilitar o uso (e, aliás, adicionar recursos como o bloqueio de redes de rastreamento de anúncios), seus criadores também lançaram extensões para os principais navegadores: Firefox, Chrome e MS Edge.
O problema é que agora foi descoberto que, há vários meses, DuckDuckGo Privacy Essentials vem colocando em risco, justamente, a privacidade de seus usuários. Como assim?
Pequena vulnerabilidade, enormes consequências potenciais
Estamos lidando com um caso de vulnerabilidade uXSS (script universal entre sites), em que o invasor pode injetar código malicioso arbitrário em páginas da web visitadas pelo usuário usando alguma linguagem de script (geralmente JavaScript) e explorando vulnerabilidades do lado do cliente.
Isso permite que o invasor acesse o histórico do navegador e todas as informações confidenciais inseridas pelo usuário (como dados vinculados à conta bancária), além de alterar as informações exibidas na tela do usuário.
As chances de um invasor obter esse grau de acesso são mínimas, mas os resultados potenciais ainda são catastróficos, mesmo se você for um usuário de ferramentas de navegação segura, como SecureDrop ou ProtonMail.
A boa notícia, nesse caso, é que esse tipo de ataque só pode ser executado por quem controla o servidor http://staticcdn.duckduckgo.com.
Isso é, em princípio, pela própria empresa DuckDuckGo. Mas também pode ser explorado por seu provedor de hospedagem (ninguém menos que a Microsoft, por meio do Azure) ou por um invasor que assume o controle desse servidor (cibercriminosos, agências governamentais, etc.).
De acordo com Wladimir Palant, o criador do Adblock Plus e o pesquisador que detectou originalmente a vulnerabilidade, esta vulnerabilidade está operacional há vários meses, e não foi até os últimos dias, com o lançamento da versão 2021.3.8 da extensão para os três navegadores principais, que finalmente foi corrigido.