En resumen, la aplicación de navegador Proton Pass ya no es vulnerable a los ataques de clickjacking reportados. Fuimos alertados de esta vulnerabilidad por un informe del investigador de ciberseguridad Marek Tóth presentado en DEF CON 33.

Tóth hizo una presentación sobre un nuevo tipo de ataque de clickjacking que había descubierto. Explicó cómo funcionaba el ataque y cómo los datos en su aplicación de navegador de gestor de contraseñas podrían ser vulnerables a él. Proton Pass fue uno de los ejemplos utilizados en su presentación y Tóth llevó a cabo con éxito un ataque de clickjacking en su propia aplicación de navegador. Hemos abordado esta vulnerabilidad con el lanzamiento de la versión 1.31.6 de Proton Pass, y recomendamos encarecidamente actualizar su aplicación web de Proton Pass si aún no lo ha hecho.

¿Qué es un ataque de clickjacking?

Según la definición del Open Worldwide Application Security Project (OWASP), un ataque de clickjacking(nueva ventana) se puede definir de la siguiente manera:

“El clickjacking, también conocido como un “ataque de reparación de interfaz de usuario”, ocurre cuando un atacante utiliza múltiples capas transparentes u opacas para engañar a un usuario para que haga clic en un botón o enlace en otra página cuando su intención era hacer clic en la página de nivel superior. Por lo tanto, el atacante está “secuestrando” los clics destinados a su página y enrutándolos a otra página, muy probablemente propiedad de otra aplicación, dominio o ambos”.

En su informe, Tóth identificó que “muchos programas de recompensas por errores tienen esta vulnerabilidad listada en la sección “fuera de alcance”, y en mejores casos la aceptan pero no la recompensan”. Las amenazas de clickjacking no se consideran una amenaza para la mayoría de las empresas hoy en día porque las protecciones contra ellas son comunes.

Sin embargo, Tóth pudo desarrollar una nueva técnica de ataque de clickjacking con múltiples variantes de ataque. Describe el proceso como la creación de “un script malicioso que manipula elementos de la interfaz de usuario que las extensiones del navegador inyectan en el DOM haciéndolos invisibles usando JavaScript”. Luego probó este nuevo tipo de ataque en 11 gestores de contraseñas que se pueden usar como extensiones de navegador, incluido Proton Pass. Se encontró que los 11 gestores de contraseñas eran vulnerables al ataque de clickjacking de extensiones basado en DOM de Tóth.

Puede encontrar los detalles de cómo Tóth llevó a cabo sus pruebas en el informe completo(nueva ventana).

¿Es seguro usar Proton Pass?

En la versión 1.31.6 de la aplicación Proton Pass, lanzamos una solución para evitar que este ataque sea efectivo. Los elementos de extensión relevantes y la superposición han sido abordados, y también hemos añadido a Tóth a nuestra lista de Colaboradores de seguridad por sus contribuciones a nuestra investigación de seguridad.

Invitamos a expertos en seguridad a probar todas nuestras aplicaciones Proton a través de nuestro programa de recompensas por errores, y firmas de ciberseguridad de terceros realizan auditorías de nuestro código regularmente para asegurar que todas las afirmaciones que hacemos sobre nuestros productos sean verdaderas.

¿Qué debo hacer para protegerme?

En su informe, Tóth hace recomendaciones sobre acciones que puede tomar para protegerse contra ataques de clickjacking, así como otros tipos de ciberataques. También recomendamos tomar las siguientes acciones:

  • Verifique que tiene las actualizaciones automáticas habilitadas. Ejecutar la versión más reciente de Proton Pass le ayuda a mantenerse seguro contra vulnerabilidades de día 0
  • Considere desactivar el completado automático manual y usar solo copiar y pegar. Proton Pass le permite autocompletar sus contraseñas usando dos clics para darle tiempo de evaluar si un sitio web es seguro por sí mismo, pero también puede optar por no usar el completado automático si prefiere reducir el riesgo.

Proton ha recibido una certificación ISO 27001 para demostrar que somos una organización transparente y segura. Todo lo que almacene en sus bóvedas está protegido por cifrado de extremo a extremo para garantizar que se mantenga su privacidad y que nadie más que usted pueda acceder a sus datos. Sin embargo, siempre recomendamos ser cautelosos y asegurarse de crear contraseñas fuertes y variadas y protegerse contra la suplantación y el malware con alias de hide-my-email.