Tiện ích mở rộng trình duyệt DuckDuckGo khiến người dùng Edge có nguy cơ bị vi phạm quyền riêng tư

DuckDuckGo đã trở thành lựa chọn của nhiều người dùng khi họ cần một giải pháp thay thế thân thiện với quyền riêng tư cho Google. Công ty cũng đã phát hành một tiện ích mở rộng trình duyệt có thể ngăn theo dõi và cung cấp tính năng duyệt web riêng tư trên Google Chrome, Mozilla Firefox và Microsoft Edge. Giờ đây, một lỗ hổng nghiêm trọng trên tiện ích mở rộng phổ biến, DuckDuckGo Privacy Essentials , đang khiến quyền riêng tư của người dùng Microsoft Edge gặp rủi ro.

DuckDuckGo có rủi ro về quyền riêng tư trên Edge

Lỗ hổng bảo mật sử dụng công nghệ tập lệnh đa trang web để rình mò hoạt động duyệt internet của nạn nhân, đánh bại mục đích của tiện ích mở rộng trình duyệt DuckDuckGo trong lần tấn công đầu tiên.

Vì cuộc tấn công có thể dựa trên một lỗ hổng uXSS, kẻ tấn công có thể đạt được quyền kiểm soát gần như hoàn toàn thiết bị mà người dùng đã cài đặt các tiện ích mở rộng DuckDuckGo Privacy Essentials. Ngoài việc giành quyền truy cập vào lịch sử duyệt web và thông tin nhạy cảm, kẻ tấn công cũng có thể chạy mã tùy ý trên bất kỳ miền nào mà người dùng đang truy cập, theo báo cáo này .

Tuy nhiên, điều đáng chú ý là kẻ tấn công ngẫu nhiên có thể khai thác lỗ hổng này. Một hacker cần truy cập vào máy chủ lõi để triển khai các mối đe dọa thực sự từ vấn đề này. Đồng thời, DuckDuckGo , nhà cung cấp dịch vụ lưu trữ và thậm chí các cơ quan chính phủ có thể dễ dàng biết được toàn bộ nơi ở của người dùng khi quyền truy cập máy chủ được cung cấp.

Khi kẻ tấn công đã đảm bảo quyền truy cập này, chúng có thể sử dụng vị trí đặc quyền và khai thác lỗ hổng để xem và thao tác những gì người dùng nhìn thấy trên màn hình trình duyệt. Ví dụ: kẻ tấn công có thể thao túng các phiên giao dịch ngân hàng trực tuyến để nhận thông tin đăng nhập hoặc âm thầm chuyển tiền.

Nếu điều này xảy ra, ngay cả các đường truyền thông tin liên lạc được bảo mật bằng mã hóa cấp quân sự cũng sẽ trở nên minh bạch đối với kẻ tấn công. Mặc dù cơ hội kẻ tấn công đạt được tất cả các đặc quyền này là rất ít, nhưng kết quả có thể rất thảm khốc. Đó là lý do tại sao việc thiếu bản vá trở thành mối quan tâm nghiêm trọng đối với Microsoft Edge. Hiện vẫn chưa rõ thời điểm DuckDuckGo có kế hoạch phát hành bản vá trình duyệt Microsoft Edge.

Công ty đã phát hành các bản vá cho cả Chrome và Firefox , nhưng Microsoft Edge vẫn nằm trong danh sách bị xâm phạm.

Trong khi đó, nếu bạn đã cài đặt DuckDuckGo Privacy Essentials trên Microsoft Edge của mình, tốt hơn bạn nên gỡ cài đặt nó cho đến khi có bản vá chính thức. Người dùng Chrome và Firefox nên đảm bảo rằng bạn đã cập nhật tiện ích mở rộng này.