Lyhyesti sanottuna, Proton Pass -selainsovellus ei ole enää haavoittuvainen raportoiduille clickjacking-hyökkäyksille. Saimme tiedon tästä haavoittuvuudesta kyberturvallisuustutkija Marek Tóthin raportista, joka esiteltiin DEF CON 33 -tapahtumassa.

Tóth piti esityksen löytämästään uudentyyppisestä clickjacking-hyökkäyksestä. Hän selitti, miten hyökkäys toimi ja kuinka salasananhallinnan selainsovelluksessa olevat tiedot voisivat olla haavoittuvaisia sille. Proton Pass oli yksi hänen esityksessään käytetyistä esimerkeistä, ja Tóth toteutti onnistuneesti clickjacking-hyökkäyksen omaan selainsovellukseensa. Olemme korjanneet tämän haavoittuvuuden Proton Passin version 1.31.6 julkaisun myötä ja suosittelemme vahvasti päivittämään Proton Pass -verkkosovelluksesi, jos et ole sitä vielä tehnyt.

Mikä on clickjacking-hyökkäys?

Open Worldwide Application Security Projectin (OWASP) määritelmän mukaan clickjacking-hyökkäys(uusi ikkuna) voidaan määritellä seuraavasti:

”Clickjacking, joka tunnetaan myös nimellä ”käyttöliittymän peittohyökkäys”, tapahtuu, kun hyökkääjä käyttää useita läpinäkyviä tai läpinäkymättömiä kerroksia huijatakseen käyttäjän napsauttamaan painiketta tai linkkiä toisella sivulla, kun heidän tarkoituksenaan oli napsauttaa päällimmäistä sivua. Näin hyökkääjä ”kaappaa” heidän sivulleen tarkoitetut napsautukset ja reitittää ne toiselle sivulle, jonka todennäköisesti omistaa toinen sovellus, verkkotunnus tai molemmat.”

Raportissaan Tóth tunnisti, että ”monissa vikapalkkiojärjestelmissä tämä haavoittuvuus on lueteltu ”soveltamisalan ulkopuolella” olevaksi, ja paremmissa tapauksissa he hyväksyvät sen mutta eivät palkitse siitä.” Clickjacking-uhkia ei pidetä uhkana useimmille yrityksille nykypäivänä, koska suojaukset sitä vastaan ovat yleisiä.

Tóth pystyi kuitenkin kehittämään uuden clickjacking-hyökkäystekniikan, jossa oli useita hyökkäysmuunnelmia. Hän kuvailee prosessia ”haitallisen skriptin luomiseksi, joka manipuloi käyttöliittymäelementtejä, joita selaimen laajennukset injektoivat DOMiin, tekemällä niistä näkymättömiä JavaScriptin avulla.” Sitten hän testasi tätä uutta hyökkäystyyppiä 11 salasananhallintaohjelmalla, joita voidaan käyttää selainlaajennuksina, mukaan lukien Proton Pass. Kaikkien 11 salasananhallintaohjelman havaittiin olevan haavoittuvaisia Tóthin DOM-pohjaiselle laajennuksen clickjacking-hyökkäykselle.

Voit selvittää yksityiskohdat siitä, miten Tóth suoritti testauksensa koko raportista(uusi ikkuna).

Onko Proton Passin käyttö turvallista?

Proton Pass -sovelluksen versiossa 1.31.6 julkaisimme korjauksen estääksemme tämän hyökkäyksen tehokkuuden. Asiaankuuluvat laajennuselementit ja peittokuva on korjattu, ja olemme myös lisänneet Tóthin tietoturva-avustajien luetteloomme hänen panoksestaan tietoturvatutkimukseemme.

Kutsumme tietoturva-asiantuntijoita testaamaan kaikkia Proton-sovelluksiamme vikapalkkiojärjestelmämme kautta, ja ulkopuoliset kyberturvallisuusyritykset suorittavat koodimme auditointeja säännöllisesti varmistaakseen, että kaikki väitteemme tuotteistamme ovat totta.

Mitä minun pitäisi tehdä suojellakseni itseäni?

Raportissaan Tóth antaa suosituksia toimista, joita voit tehdä suojellaksesi itseäsi clickjacking-hyökkäyksiltä sekä muuntyyppisiltä kyberhyökkäyksiltä. Suosittelemme myös seuraavia toimia:

  • Tarkista, että automaattiset päivitykset ovat käytössä. Proton Passin uusimman version käyttäminen auttaa sinua pysymään turvassa nollapäivähaavoittuvuuksilta
  • Harkitse manuaalisen automaattitäytön poistamista käytöstä ja käytä vain kopioi ja liitä -toimintoa. Proton Pass antaa sinun käyttää salasanojen automaattitäyttöä kahdella napsautuksella antaakseen sinulle aikaa arvioida, onko verkkosivusto turvallinen, mutta voit myös valita olla käyttämättä automaattitäyttöä, jos haluat vähentää riskiä.

Proton on saanut ISO 27001 -sertifikaatin todistaakseen, että olemme läpinäkyvä ja turvallinen organisaatio. Kaikki holveihisi tallentamasi on suojattu päästä päähän -salauksella varmistaaksemme, että yksityisyytesi säilyy ja kukaan muu kuin sinä ei voi käyttää tietojasi. Suosittelemme kuitenkin aina olemaan varovainen ja varmistamaan, että luot vahvoja, vaihtelevia salasanoja ja suojaat itsesi tietojenkalastelulta ja haittaohjelmilta hide-my-email-aliaksilla.