DuckDuckGo Privacy Essentials ma niezałatane luki w zabezpieczeniach?

15 03 2021

Producent popularnej wyszukiwarki, przeglądarki i rozszerzenia do przeglądarek, został poddany audytowi przez Wladimira Palanta, stojącego za pluginem Adblock Plus. Badacz zaciekawił się działaniem od środka rozszerzenia DuckDuckGo Privacy Essentials, dlatego opublikował swoje odkrycia na blogu, szczegółowo opisując proces postępowania, a także to, co udało mu się zaobserwować.

Rozszerzenie DuckDuckGo Privacy Essentials dla popularnych przeglądarek zapewnia ochronę przed skryptami internetowymi, które nas śledzą i narażają naszą prywatność na ujawnienie zbyt wielu informacji sieciom reklamowym.

Plugin do przeglądarki posiada możliwość przekierowania ruchu z protokołu nieszyfrowanego HTTP do szyfrowanego HTTPS, zastępując inne, popularne rozszerzenie o nazwie HTTPS Everywhere. Dodatkowo DuckDuckGo Privacy Essentials nie śledzi aktywności użytkownika. Wykorzystuje też sztuczną inteligencję do „czytania” polityk prywatności stron internetowych. Robi to, aby przeszukiwać (zwykle) bardzo skomplikowane i pisane językiem prawniczym warunki korzystania z usługi bądź aplikacji internetowej. Automatyczna analiza tekstu jest możliwa dzięki współpracy DuckDuckGo z Terms of Service Didn’t Read.

DuckDuckGo Privacy Essentials
DuckDuckGo Privacy Essentials.

DuckDuckGo Privacy Essentials z błędami

Analiza rozszerzenia ujawniła dwie luki w zabezpieczeniach (jedna z nich jest mniej poważna, bo odpowiada za pogorszenie poziomu ochrony prywatności). Podatności zostały naprawione w DuckDuckGo Privacy Essentials w wersji 2021.2.3 i nowszych. Jednakże autor głośno zastanawia się, dlaczego nowa wersja pluginu dostępna jest dla przeglądarki Google Chrome, a dla Mozilla Firefox i Microsoft Edge została pominięta?

Harmonogram analizy wygląda następująco:

  • 2020-12-10: Jako że rozszerzenie zawiera otwarty kod opublikowany na GitHub Wladimir próbował skontaktować się z deweloperem aplikacji.
  • 2020-12-10: Otrzymał adres e-mail do programisty.
  • 2020-12-16: Zgłosił dwie luki pocztą elektroniczną.
  • 2020-12-16: Otrzymał potwierdzenie, że zgłoszenia zostały otrzymane i zostaną rozpatrzone.
  • 2021-01-05: Jedna z luk została załatana.
  • 2021-01-08: Wydano DuckDuckGo Privacy Essentials w wersji 2021.1.8.
  • 2021-01-13: Naprawiono drugi problem związany z podatnością typu Cross-site Scripting (XSS).
  • 2021-02-08 (prawdopodobnie): Opublikowano rozszerzenie DuckDuckGo Privacy Essentials w wersji 2021.2.3 tylko dla Google Chrome.

Od ponad miesiąca nie pojawiły się nowe wersje rozszerzenia dla przeglądarek Firefox oraz EDGE. Nie podano żadnego wyjaśnienia ani prawdopodobnej przyczyny.

Użytkownicy wymienionych dwóch przeglądarek, którzy używają rozszerzenia DuckDuckGo Privacy Essentials, mogą (w ekstremalnych okolicznościach) dzielić się informacjami z firmami trzecimi (dane te, teoretycznie powinny trafić wyłącznie do serwera, który przechowuje pliki strony internetowej).

Dobra wiadomość jest taka, że nikt nie jest na straconej pozycji. Wystarczy chwila cierpliwości, aby znacząco podnieść swoją wiedzę o bezpieczeństwie przeglądarek i popularnych rozszerzeniach dla przeglądarek. Oczywiście mamy takie materiały i znajdują się one pod tymtym linkiem.

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl
guest
0 komentarzy
Inline Feedbacks
View all comments

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone

Porównanie rozwiązań ochronnych

DLA GOSPODARSTWA DOMOWEGO I MIKRO FIRMY

Dlaczego korzystamy z dHosting?

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

RAPORT
Cyberbezpieczeństwo:
Trendy 2021

Już dostępny!

Dlaczego korzystamy
z dHosting?

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone