DuckDuckGo es una de las opciones de búsqueda favoritas de los usuarios que huyen de Google y se muestran concienciados con la causa de la privacidad en la web.

De modo que, para facilitar su uso (y de paso añadir funcionalidades como el bloqueo de redes de seguimiento publicitario) sus creadores lanzaron también extensiones para los principales navegadores: Firefox, Chrome y MS Edge.
El problema es que ahora se ha descubierto que, durante varios meses, DuckDuckGo Privacy Essentials ha estado poniendo en riesgo, precisamente, la privacidad de sus usuarios. ¿Cómo es esto?

Pequeña vulnerabilidad, enormes (potenciales) consecuencias

Nos encontramos ante un caso de vulnerabilidad uXSS (siglas en inglés de 'universal cross-site scripting'), en la que el atacante es capaz de inyectar código malicioso arbitrario en páginas web visitadas por el usuario usando algún lenguaje de scripting (frecuentemente JavaScript) y explotando vulnerabilidades del lado del cliente.

En Xataka

Las 12 extensiones clave en Chrome y Firefox para la privacidad y seguridad en internet

Eso permite que el atacante pueda acceder al historial del navegador y a toda la información sensible introducida por el usuario (como los datos vinculados con su cuenta bancaria), así como alterar la información visualizada en pantalla por el usuario.

Las posibilidades de que un atacante llegue a obtener tal grado de acceso son escasas, pero los resultados potenciales siguen siendo catastróficos incluso si eres usuario de herramientas de navegación segura como SecureDrop o ProtonMail.

…