Stručně řečeno, aplikace Proton Pass v prohlížeči již není zranitelná vůči nahlášeným útokům typu clickjacking. Na tuto zranitelnost nás upozornila zpráva bezpečnostního výzkumníka Marka Tótha přednesená na konferenci DEF CON 33.

Tóth přednesl prezentaci o novém typu útoku clickjacking, který objevil. Vysvětlil, jak útok funguje a jak by vůči němu mohla být zranitelná data v aplikaci vašeho správce hesel v prohlížeči. Proton Pass byl jedním z příkladů použitých v jeho prezentaci a Tóth úspěšně provedl útok clickjacking na svou vlastní aplikaci v prohlížeči. Tuto zranitelnost jsme vyřešili zavedením verze 1.31.6 aplikace Proton Pass a důrazně doporučujeme aktualizovat vaši webovou aplikaci Proton Pass, pokud jste tak ještě neučinili.

Co je to útok clickjacking?

Podle definice Open Worldwide Application Security Project (OWASP) lze útok clickjacking(nové okno) definovat následovně:

„Clickjacking, známý také jako ‚útok na úpravu uživatelského rozhraní‘, nastává, když útočník použije více průhledných nebo neprůhledných vrstev, aby oklamal uživatele a přiměl ho kliknout na tlačítko nebo odkaz na jiné stránce, když měl v úmyslu kliknout na stránku nejvyšší úrovně. Útočník tak ‚unese‘ kliknutí určená pro jeho stránku a přesměruje je na jinou stránku, pravděpodobně vlastněnou jinou aplikací, doménou nebo oběma.“

Tóth ve své zprávě uvedl, že „mnoho programů odměn za nalezené chyby má tuto zranitelnost uvedenou v sekci ‚mimo rozsah‘ a v lepších případech ji akceptují, ale neodměňují“. Hrozby typu clickjacking nejsou v dnešní době považovány za hrozbu pro většinu firem, protože ochrana proti nim je běžná.

Tóth však dokázal vyvinout novou techniku útoku clickjacking s více variantami útoku. Popisuje tento proces jako vytvoření „škodlivého skriptu, který manipuluje s prvky uživatelského rozhraní, které rozšíření prohlížeče vkládají do DOM, tím, že je zneviditelní pomocí JavaScriptu“. Poté otestoval tento nový typ útoku na 11 správcích hesel, které lze použít jako rozšíření prohlížeče, včetně Proton Pass. U všech 11 správců hesel bylo zjištěno, že jsou zranitelní vůči Tóthovu útoku clickjacking na rozšíření založenému na DOM.

Podrobnosti o tom, jak Tóth provedl své testování, najdete v úplné zprávě(nové okno).

Je používání Proton Pass bezpečné?

Ve verzi 1.31.6 aplikace Proton Pass jsme vydali opravu, která zabraňuje účinnosti tohoto útoku. Relevantní prvky rozšíření a překryvná vrstva byly vyřešeny a také jsme přidali Tótha na náš seznam přispěvatelů k bezpečnosti za jeho přínos k našemu bezpečnostnímu výzkumu.

Zveme bezpečnostní experty, aby testovali všechny naše aplikace Proton prostřednictvím našeho programu odměn za nalezené chyby, a kyberbezpečnostní firmy třetích stran pravidelně provádějí audity našeho kódu, aby zajistily, že všechna tvrzení, která o našich produktech uvádíme, jsou pravdivá.

Co mám dělat, abych se ochránil?

Ve své zprávě Tóth uvádí doporučení ohledně kroků, které můžete podniknout, abyste se ochránili před útoky clickjacking i jinými typy kybernetických útoků. Také doporučujeme provést následující kroky:

  • Zkontrolujte, zda máte povoleny automatické aktualizace. Provozování nejnovější verze Proton Pass vám pomůže zůstat v bezpečí před zranitelnostmi nultého dne
  • Zvažte deaktivaci ručního automatického vyplňování a používání pouze kopírování a vkládání. Proton Pass vám umožňuje automaticky vyplňovat hesla pomocí dvou kliknutí, abyste měli čas posoudit, zda je webová stránka bezpečná, ale můžete se také rozhodnout nepoužívat automatické vyplňování, pokud dáváte přednost snížení rizika.

Společnost Proton získala certifikaci ISO 27001, která prokazuje, že jsme transparentní a bezpečná organizace. Vše, co uložíte do svých trezorů, je chráněno koncovým šifrováním, aby bylo zajištěno zachování vašeho soukromí a aby k vašim datům nemohl přistupovat nikdo jiný než vy. Vždy však doporučujeme být opatrní a ujistit se, že vytváříte silná a různorodá hesla a chráníte se před phishingem a malwarem pomocí aliasů hide-my-email.