Kort sagt: Proton Pass-browserappen er ikke længere sårbar over for rapporterede clickjacking-angreb. Vi blev gjort opmærksomme på denne sårbarhed ved en rapport fra cybersikkerhedsforsker Marek Tóth, præsenteret ved DEF CON 33.

Tóth holdt en præsentation om en ny type clickjacking-angreb, som han havde opdaget. Han forklarede, hvordan angrebet fungerede, og hvordan data i din adgangskodeadministrator-browserapp kunne være sårbare over for det. Proton Pass var et af de eksempler, der blev brugt i hans præsentation, og Tóth udførte med succes et clickjacking-angreb på sin egen browserapp. Vi har adresseret denne sårbarhed med udrulningen af version 1.31.6 af Proton Pass og vil stærkt anbefale at opdatere din Proton Pass-webapp, hvis du ikke allerede har gjort det.

Hvad er et clickjacking-angreb?

Som defineret af Open Worldwide Application Security Project (OWASP) kan et clickjacking-angreb(nyt vindue) defineres som følger:

“Clickjacking, også kendt som et “UI-redress-angreb”, er, når en angriber bruger flere gennemsigtige eller uigennemsigtige lag til at narre en bruger til at klikke på en knap eller et link på en anden side, når de havde til hensigt at klikke på top-level-siden. Dermed “kaprer” angriberen klik beregnet til deres side og router dem til en anden side, som sandsynligvis ejes af en anden applikation, et andet domæne eller begge dele.”

I sin rapport identificerede Tóth, at “mange fejldusør-programmer har denne sårbarhed opført i “uden for scope”-sektionen, og i bedre tilfælde accepterer de den, men belønner den ikke.” Clickjacking-trusler anses ikke for at være en trussel mod de fleste virksomheder i disse dage, fordi beskyttelse mod det er almindeligt.

Men Tóth var i stand til at udvikle en ny clickjacking-angrebsteknik med flere angrebsvarianter. Han beskriver processen som at skabe “et ondsindet script manipulerer UI-elementer, som browserudvidelser injicerer i DOM’en, ved at gøre dem usynlige ved hjælp af JavaScript.” Han testede derefter denne nye angrebstype på 11 adgangskodeadministratorer, der kan bruges som browserudvidelser, herunder Proton Pass. Alle 11 adgangskodeadministratorer blev fundet sårbare over for Tóths DOM-baserede udvidelses-clickjacking-angreb.

Du kan finde detaljerne om, hvordan Tóth udførte sin test, i den fulde rapport(nyt vindue).

Er Proton Pass sikkert at bruge?

I version 1.31.6 af Proton Pass-appen udgav vi en rettelse for at forhindre dette angreb i at være effektivt. De relevante udvidelseselementer og overlay er blevet adresseret, og vi har også tilføjet Tóth til vores liste over Sikkerhedsbidragydere for hans bidrag til vores sikkerhedsforskning.

Vi inviterer sikkerhedseksperter til at teste alle vores Proton-apps gennem vores fejldusør-program, og tredjeparts-cybersikkerhedsfirmaer udfører audits af vores kode regelmæssigt for at sikre, at alle de påstande, vi fremsætter om vores produkter, er sande.

Hvad skal jeg gøre for at beskytte mig selv?

I sin rapport kommer Tóth med anbefalinger om handlinger, du kan foretage for at beskytte dig mod clickjacking-angreb samt andre typer cyberangreb. Vi anbefaler også at tage følgende handlinger:

  • Tjek, at du har automatiske opdateringer aktiveret. Kørsel af den seneste version af Proton Pass hjælper dig med at forblive sikker mod day 0-sårbarheder
  • Overvej at deaktivere manuel autofyld og kun bruge kopiér og sæt ind. Proton Pass giver dig mulighed for at autofylde dine adgangskoder ved hjælp af to klik for at give dig tid til at vurdere, om et websted er sikkert for dig selv, men du kan også vælge ikke at bruge autofyld, hvis du foretrækker at reducere risikoen.

Proton har modtaget en ISO 27001-certificering for at bevise, at vi er en gennemsigtig og sikker organisation. Alt, hvad du gemmer i dine bokse, er beskyttet af end-to-end kryptering for at sikre, at dit privatliv opretholdes, og at ingen andre end dig kan få adgang til dine data. Men vi anbefaler altid at være forsigtig og sikre, at du opretter stærke, varierede adgangskoder og beskytter dig selv mod phishing og malware med hide-my-email-aliasser.