Producent popularnej wyszukiwarki, przeglądarki i rozszerzenia do przeglądarek, został poddany audytowi przez Wladimira Palanta, stojącego za pluginem Adblock Plus. Badacz zaciekawił się działaniem od środka rozszerzenia DuckDuckGo Privacy Essentials, dlatego opublikował swoje odkrycia na blogu, szczegółowo opisując proces postępowania, a także to, co udało mu się zaobserwować.
Rozszerzenie DuckDuckGo Privacy Essentials dla popularnych przeglądarek zapewnia ochronę przed skryptami internetowymi, które nas śledzą i narażają naszą prywatność na ujawnienie zbyt wielu informacji sieciom reklamowym.
Plugin do przeglądarki posiada możliwość przekierowania ruchu z protokołu nieszyfrowanego HTTP do szyfrowanego HTTPS, zastępując inne, popularne rozszerzenie o nazwie HTTPS Everywhere. Dodatkowo DuckDuckGo Privacy Essentials nie śledzi aktywności użytkownika. Wykorzystuje też sztuczną inteligencję do „czytania” polityk prywatności stron internetowych. Robi to, aby przeszukiwać (zwykle) bardzo skomplikowane i pisane językiem prawniczym warunki korzystania z usługi bądź aplikacji internetowej. Automatyczna analiza tekstu jest możliwa dzięki współpracy DuckDuckGo z Terms of Service Didn’t Read.
DuckDuckGo Privacy Essentials z błędami
Analiza rozszerzenia ujawniła dwie luki w zabezpieczeniach (jedna z nich jest mniej poważna, bo odpowiada za pogorszenie poziomu ochrony prywatności). Podatności zostały naprawione w DuckDuckGo Privacy Essentials w wersji 2021.2.3 i nowszych. Jednakże autor głośno zastanawia się, dlaczego nowa wersja pluginu dostępna jest dla przeglądarki Google Chrome, a dla Mozilla Firefox i Microsoft Edge została pominięta?
Harmonogram analizy wygląda następująco:
- 2020-12-10: Jako że rozszerzenie zawiera otwarty kod opublikowany na GitHub Wladimir próbował skontaktować się z deweloperem aplikacji.
- 2020-12-10: Otrzymał adres e-mail do programisty.
- 2020-12-16: Zgłosił dwie luki pocztą elektroniczną.
- 2020-12-16: Otrzymał potwierdzenie, że zgłoszenia zostały otrzymane i zostaną rozpatrzone.
- 2021-01-05: Jedna z luk została załatana.
- 2021-01-08: Wydano DuckDuckGo Privacy Essentials w wersji 2021.1.8.
- 2021-01-13: Naprawiono drugi problem związany z podatnością typu Cross-site Scripting (XSS).
- 2021-02-08 (prawdopodobnie): Opublikowano rozszerzenie DuckDuckGo Privacy Essentials w wersji 2021.2.3 tylko dla Google Chrome.
Od ponad miesiąca nie pojawiły się nowe wersje rozszerzenia dla przeglądarek Firefox oraz EDGE. Nie podano żadnego wyjaśnienia ani prawdopodobnej przyczyny.
Użytkownicy wymienionych dwóch przeglądarek, którzy używają rozszerzenia DuckDuckGo Privacy Essentials, mogą (w ekstremalnych okolicznościach) dzielić się informacjami z firmami trzecimi (dane te, teoretycznie powinny trafić wyłącznie do serwera, który przechowuje pliki strony internetowej).
Dobra wiadomość jest taka, że nikt nie jest na straconej pozycji. Wystarczy chwila cierpliwości, aby znacząco podnieść swoją wiedzę o bezpieczeństwie przeglądarek i popularnych rozszerzeniach dla przeglądarek. Oczywiście mamy takie materiały i znajdują się one pod tym i tym linkiem.
