DuckDuckGoブラウザに重大なUXSS脆弱性、情報窃取のおそれ

DuckDuckGo Android版にUXSS脆弱性、悪性コード実行のおそれ

DuckDuckGoのAndroid版ブラウザで、Universal Cross-Site Scripting（UXSS）の脆弱性が確認された。問題は、ブラウザに組み込まれている「AutoConsent」機能のJavaScriptブリッジに起因するものだ。

この不具合により、信頼されたページのコンテキスト内で悪意のあるスクリプトが実行される可能性があったとされる。脆弱性はセキュリティ研究者のDhiraj Mishra氏がHackerOneを通じて報告し、DuckDuckGoはその後のアップデートで修正対応を行った。

メッセージ検証の不備が原因

問題の中心は、ページ読み込み時に挿入される「AutoconsentAndroid」Javaブリッジの実装にある。このブリッジは、メッセージ送信元の検証や認証トークンの確認を行わないまま、複数のフレームからのメッセージを受け付ける仕様となっていた。

受信した内容は webView.evaluateJavascript(...) を通じてトップレベルドキュメント上で実行されるため、悪用された場合、信頼されたページのコンテキスト内で任意のスクリプトが実行される可能性があった。

攻撃者は隠しiframeを挿入し、同ブリッジへ細工したメッセージを送信することで、意図しないJavaScriptを実行させることができたとされる。

SOPを回避するリスク

今回の不具合は、ブラウザの基本的な安全機構であるSame-Origin Policy（SOP）を事実上回避できる状態を生むものだった。SOPは異なるオリジン間のデータアクセスを制限する仕組みであり、これが破られた場合の影響は大きい。

悪用された場合、攻撃者は利用者の操作を伴わずにクッキーやセッショントークンを取得したり、ページ内容を改ざんしたりする可能性があった。また、信頼されたページ上に不正なコンテンツを挿入されるおそれも指摘されている。

アップデート適用の重要性

本件の脆弱性はCVSSスコア8.6（High）と評価されている。既定設定の環境でも影響を受ける可能性があったことから、利用者には速やかなアップデート適用が求められる。

DuckDuckGoは最新バージョンで当該問題を修正済みとしており、未更新の端末についてはバージョン確認と更新を行うことが推奨される。