En resumen, la aplicación de navegador Proton Pass ya no es vulnerable a los ataques de clickjacking reportados. Fuimos alertados de esta vulnerabilidad por un informe del investigador de ciberseguridad Marek Tóth presentado en DEF CON 33.

Tóth dio una presentación sobre un nuevo tipo de ataque de clickjacking que había descubierto. Explicó cómo funcionaba el ataque y cómo los datos en tu aplicación de navegador de gestor de contraseñas podrían ser vulnerables a él. Proton Pass fue uno de los ejemplos utilizados en su presentación y Tóth llevó a cabo con éxito un ataque de clickjacking en su propia aplicación de navegador. Hemos abordado esta vulnerabilidad con el lanzamiento de la versión 1.31.6 de Proton Pass, y recomendaríamos encarecidamente actualizar tu aplicación web de Proton Pass si aún no lo has hecho.

¿Qué es un ataque de clickjacking?

Como lo define el Open Worldwide Application Security Project (OWASP), un ataque de clickjacking(ventana nueva) se puede definir como lo siguiente:

«Clickjacking, también conocido como “ataque de reparación de interfaz de usuario”, es cuando un atacante utiliza múltiples capas transparentes u opacas para engañar a un usuario para que haga clic en un botón o enlace en otra página cuando tenía la intención de hacer clic en la página de nivel superior. Por lo tanto, el atacante está “secuestrando” clics destinados a su página y enrutándolos a otra página, muy probablemente propiedad de otra aplicación, dominio o ambos».

En su informe, Tóth identificó que «muchos programas de recompensas por errores tienen esta vulnerabilidad listada en la sección “fuera de alcance”, y en mejores casos la aceptan pero no la recompensan». Las amenazas de clickjacking no se consideran una amenaza para la mayoría de las empresas hoy en día porque las protecciones contra ellas son comunes.

Sin embargo, Tóth pudo desarrollar una nueva técnica de ataque de clickjacking con múltiples variantes de ataque. Describe el proceso como la creación de «un script malicioso que manipula elementos de la interfaz de usuario que las extensiones del navegador inyectan en el DOM haciéndolos invisibles usando JavaScript». Luego probó este nuevo tipo de ataque en 11 gestores de contraseñas que pueden usarse como extensiones de navegador, incluido Proton Pass. Se encontró que los 11 gestores de contraseñas eran vulnerables al ataque de clickjacking de extensión basado en DOM de Tóth.

Puedes averiguar los detalles de cómo Tóth llevó a cabo sus pruebas en el informe completo(ventana nueva).

¿Es seguro usar Proton Pass?

En la versión 1.31.6 de la aplicación Proton Pass, lanzamos una corrección para evitar que este ataque sea efectivo. Los elementos de extensión y la superposición relevantes han sido abordados, y también hemos añadido a Tóth a nuestra lista de Colaboradores de seguridad por sus contribuciones a nuestra investigación de seguridad.

Invitamos a expertos en seguridad a probar todas nuestras aplicaciones Proton a través de nuestro programa de recompensas por errores, y firmas de ciberseguridad de terceras partes realizan auditorías de nuestro código regularmente para asegurar que todas las afirmaciones que hacemos sobre nuestros productos son verdaderas.

¿Qué debo hacer para protegerme?

En su informe, Tóth hace recomendaciones sobre acciones que puedes tomar para protegerte contra ataques de clickjacking así como otros tipos de ciberataques. También recomendamos tomar las siguientes acciones:

  • Comprueba que tienes las actualizaciones automáticas activadas. Ejecutar la versión más reciente de Proton Pass te ayuda a mantenerte seguro contra vulnerabilidades de día 0
  • Considera desactivar el relleno automático manual y usar solo copiar y pegar. Proton Pass te permite rellenar automáticamente tus contraseñas usando dos clics para darte tiempo a evaluar si un sitio web es seguro para ti, pero también puedes optar por no usar el relleno automático si prefieres reducir el riesgo.

Proton ha recibido una certificación ISO 27001 para demostrar que somos una organización transparente y segura. Todo lo que almacenas en tus cajas fuertes está protegido por cifrado de extremo a extremo para asegurar que tu privacidad se mantenga y nadie más que tú pueda acceder a tus datos. Sin embargo, siempre recomendamos ser precavido y asegurarte de que estás creando contraseñas fuertes y variadas y protegiéndote contra la suplantación y el malware con alias de hide-my-email.