DuckDuckGo Privacy Essentials ma niezałatane luki w zabezpieczeniach?

15 marca, 2021

Producent popularnej wyszukiwarki, przeglądarki i rozszerzenia do przeglądarek, został poddany audytowi przez Wladimira Palanta, stojącego za pluginem Adblock Plus. Badacz zaciekawił się działaniem od środka rozszerzenia DuckDuckGo Privacy Essentials, dlatego opublikował swoje odkrycia na blogu, szczegółowo opisując proces postępowania, a także to, co udało mu się zaobserwować.

Rozszerzenie DuckDuckGo Privacy Essentials dla popularnych przeglądarek zapewnia ochronę przed skryptami internetowymi, które nas śledzą i narażają naszą prywatność na ujawnienie zbyt wielu informacji sieciom reklamowym.

Plugin do przeglądarki posiada możliwość przekierowania ruchu z protokołu nieszyfrowanego HTTP do szyfrowanego HTTPS, zastępując inne, popularne rozszerzenie o nazwie HTTPS Everywhere. Dodatkowo DuckDuckGo Privacy Essentials nie śledzi aktywności użytkownika. Wykorzystuje też sztuczną inteligencję do „czytania” polityk prywatności stron internetowych. Robi to, aby przeszukiwać (zwykle) bardzo skomplikowane i pisane językiem prawniczym warunki korzystania z usługi bądź aplikacji internetowej. Automatyczna analiza tekstu jest możliwa dzięki współpracy DuckDuckGo z Terms of Service Didn’t Read.

DuckDuckGo Privacy Essentials
DuckDuckGo Privacy Essentials.

DuckDuckGo Privacy Essentials z błędami

Analiza rozszerzenia ujawniła dwie luki w zabezpieczeniach (jedna z nich jest mniej poważna, bo odpowiada za pogorszenie poziomu ochrony prywatności). Podatności zostały naprawione w DuckDuckGo Privacy Essentials w wersji 2021.2.3 i nowszych. Jednakże autor głośno zastanawia się, dlaczego nowa wersja pluginu dostępna jest dla przeglądarki Google Chrome, a dla Mozilla Firefox i Microsoft Edge została pominięta?

Harmonogram analizy wygląda następująco:

  • 2020-12-10: Jako że rozszerzenie zawiera otwarty kod opublikowany na GitHub Wladimir próbował skontaktować się z deweloperem aplikacji.
  • 2020-12-10: Otrzymał adres e-mail do programisty.
  • 2020-12-16: Zgłosił dwie luki pocztą elektroniczną.
  • 2020-12-16: Otrzymał potwierdzenie, że zgłoszenia zostały otrzymane i zostaną rozpatrzone.
  • 2021-01-05: Jedna z luk została załatana.
  • 2021-01-08: Wydano DuckDuckGo Privacy Essentials w wersji 2021.1.8.
  • 2021-01-13: Naprawiono drugi problem związany z podatnością typu Cross-site Scripting (XSS).
  • 2021-02-08 (prawdopodobnie): Opublikowano rozszerzenie DuckDuckGo Privacy Essentials w wersji 2021.2.3 tylko dla Google Chrome.

Od ponad miesiąca nie pojawiły się nowe wersje rozszerzenia dla przeglądarek Firefox oraz EDGE. Nie podano żadnego wyjaśnienia ani prawdopodobnej przyczyny.

Użytkownicy wymienionych dwóch przeglądarek, którzy używają rozszerzenia DuckDuckGo Privacy Essentials, mogą (w ekstremalnych okolicznościach) dzielić się informacjami z firmami trzecimi (dane te, teoretycznie powinny trafić wyłącznie do serwera, który przechowuje pliki strony internetowej).

Dobra wiadomość jest taka, że nikt nie jest na straconej pozycji. Wystarczy chwila cierpliwości, aby znacząco podnieść swoją wiedzę o bezpieczeństwie przeglądarek i popularnych rozszerzeniach dla przeglądarek. Oczywiście mamy takie materiały i znajdują się one pod tymtym linkiem.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Kliknij na gwiazdkę, aby zagłosować!

Średnia ocena: 0 / 5. Liczba głosów: 0

Jak na razie nikt nie podzielił się opinią.

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]