Una vulnerabilidad en la extensión de DuckDuckGo puso en riesgo la privacidad de sus usuarios durante meses

Según podemos leer en GenBeta, parece ser que la extensión oficial de DuckDuckGo, un motor de búsqueda que busca aumentar la privacidad de sus usuarios, que generalmente huyen de Google, ha estado haciendo precisamente lo contrario durante meses, aparentemente exponiendo los datos privados de los usuarios a cualquier atacante con conocimientos de scripting, como serían de Javascript.

Entre estos datos se encuentran el historial de navegación o datos introducidos por el usuario, como serían contraseñas, además de poder acceder y alterar la información visualizada en las páginas por el propio navegador, un acceso bastante potente que podría abrir la puerta a otro tipo de infecciones de forma muy rápida.

Por suerte, este tipo de ataques solo podrían producirse aprovechando esta vulnerabilidad a través del servidor http://staticcdn.duckduckgo.com, que si bien por un lado nos permite pensar que solo la compañía podría tener acceso a esto, sigue siendo un agujero que podría ser aprovechado tanto por cualquier empleado de la compañía como por cualquier atacante que hubiese podido comprometer la seguridad de la red de la compañía.

La vulnerabilidad queda resuelta en la versión 2021.3.8 de la extensión, y parece haber estado activa durante varios meses, por lo que si la tenemos instalada es recomendable comprobar en que versión de la misma nos encontramos y actualizar a la última versión si no la tenemos.

Fin del Artículo. ¡Cuéntanos algo en los Comentarios!