İçindekiler
DuckDuckGo, Google’dan uzaklaşmak isteyen ve web’deki gizliliğin öneminin farkında olan kullanıcılar için favori arama seçeneklerinden biridir. Fakat bugün ortaya çıkan bir bilgi, resmi DuckDuckGo tarayıcı uzantısının, aylar boyunca kullanıcı gizliliğini ortadan kaldırdığını gösteriyor.
- Wombo AI uygulaması Android ve iOS’a nasıl indirilir?
- Firefox 86’dan Tam Çerez Koruması ile gelişmiş gizlilik
- Google, iOS YouTube uygulamasına gizlilik etiketleri ekledi
Resmi DuckDuckGo tarayıcı uzantısının kullanıcı gizliliğini riske attığı ortaya çıktı
DuckDuckGo resmi tarayıcı uzantısı kısa bir süre önce önemli bir güvenlik açığı ile gündeme geldi. Verilen bilgilere göre, bu açık, saldırganların, bazı komut dosyası dillerini (genellikle JavaScript) kullanarak ve istemci tarafındaki güvenlik açıklarından yararlanarak kullanıcı tarafından ziyaret edilen web sayfalarına rastgele kötü amaçlı kod enjekte edebildiği bir uXSS (evrensel siteler arası komut dosyası oluşturma) güvenlik açığıydı.
Bu, saldırganın tarayıcı geçmişine ve kullanıcı tarafından girilen tüm hassas bilgilere (banka hesaplarına bağlı veriler gibi) ulaşabilmesine ve ayrıca kullanıcının ekranında görüntülenen bilgileri değiştirmesine izin verebiliyordu.
Bir saldırganın böyle bir erişime imkan kazanma şansı düşüktür, ancak SecureDrop veya ProtonMail gibi güvenli tarama araçlarını kullanıyor olsanız bile potansiyel sonuçlar felakettir.
İyi haber şu ki, bu tür saldırılar yalnızca http://staticcdn.duckduckgo.com sunucusunu kontrol eden biri tarafından gerçekleştirilebilir.
Yani böyle bir saldırı ancak prensip olarak DuckDuckGo şirketinin kendisi tarafından yapılabilir. Ancak barındırma sağlayıcısı (Microsoft dışında Azure aracılığıyla) veya bu sunucuyu ele geçiren bir saldırgan (siber suçlular, devlet kurumları vb.) tarafından da istismar edilebilir.
Adblock Plus’ın yaratıcısı ve güvenlik açığını ilk olarak tespit eden araştırmacı Wladimir Palant’a göre, bu güvenlik açığı birkaç aydır faaliyettedir ve 2021.3.8 sürümünün yayınlanmasıyla birlikte ortadan kaldırılmıştır.
