In breve, l’app browser Proton Pass non è più vulnerabile agli attacchi di clickjacking segnalati. Siamo stati avvisati di questa vulnerabilità da un rapporto del ricercatore di sicurezza informatica Marek Tóth presentato al DEF CON 33.

Tóth ha tenuto una presentazione su un nuovo tipo di attacco di clickjacking che aveva scoperto. Ha spiegato come funzionava l’attacco e come i dati nell’app browser del tuo gestore di password potessero essere vulnerabili ad esso. Proton Pass era uno degli esempi utilizzati nella sua presentazione e Tóth ha eseguito con successo un attacco di clickjacking sulla propria app browser. Abbiamo risolto questa vulnerabilità con il rilascio della versione 1.31.6 di Proton Pass e raccomandiamo vivamente di aggiornare la tua web app Proton Pass se non l’hai già fatto.

Cos’è un attacco di clickjacking?

Come definito dall’Open Worldwide Application Security Project (OWASP), un attacco di clickjacking(nuova finestra) può essere definito come segue:

“Il clickjacking, noto anche come “attacco di riparazione dell’interfaccia utente”, avviene quando un aggressore utilizza più livelli trasparenti o opachi per ingannare un utente facendogli cliccare su un pulsante o un link su un’altra pagina quando intendeva cliccare sulla pagina di livello superiore. Pertanto, l’aggressore sta “dirottando” i clic destinati alla sua pagina e instradandoli verso un’altra pagina, molto probabilmente di proprietà di un’altra applicazione, dominio o entrambi.”

Nel suo rapporto, Tóth ha identificato che “molti programmi bug bounty hanno questa vulnerabilità elencata nella sezione “fuori ambito” e, nei casi migliori, la accettano ma non la ricompensano”. Le minacce di clickjacking non sono considerate una minaccia per la maggior parte delle aziende oggigiorno perché le protezioni contro di esse sono comuni.

Tuttavia, Tóth è stato in grado di sviluppare una nuova tecnica di attacco clickjacking con diverse varianti di attacco. Descrive il processo come la creazione di “uno script dannoso che manipola gli elementi dell’interfaccia utente che le estensioni del browser iniettano nel DOM rendendoli invisibili usando JavaScript”. Ha poi testato questo nuovo tipo di attacco su 11 gestori di password che possono essere utilizzati come estensioni del browser, incluso Proton Pass. Tutti gli 11 gestori di password sono risultati vulnerabili all’attacco di clickjacking basato su DOM di estensione di Tóth.

Puoi scoprire i dettagli di come Tóth ha svolto i suoi test nel rapporto completo(nuova finestra).

Proton Pass è sicuro da usare?

Nella versione 1.31.6 dell’app Proton Pass, abbiamo rilasciato una correzione per impedire che questo attacco fosse efficace. Gli elementi e l’overlay dell’estensione rilevanti sono stati sistemati e abbiamo anche aggiunto Tóth alla nostra lista di Collaboratori alla sicurezza per i suoi contributi alla nostra ricerca sulla sicurezza.

Invitiamo gli esperti di sicurezza a testare tutte le nostre app Proton attraverso il nostro programma bug bounty, e le aziende di sicurezza informatica di terze parti eseguono regolarmente audit del nostro codice per garantire che tutte le affermazioni che facciamo sui nostri prodotti siano vere.

Cosa dovrei fare per proteggermi?

Nel suo rapporto, Tóth fornisce raccomandazioni sulle azioni che puoi intraprendere per proteggerti dagli attacchi di clickjacking e da altri tipi di attacchi informatici. Raccomandiamo anche di intraprendere le seguenti azioni:

  • Controlla di avere gli aggiornamenti automatici attivati. Eseguire la versione più recente di Proton Pass ti aiuta a rimanere sicuro contro le vulnerabilità day 0
  • Considera di disattivare il riempimento automatico manuale e di utilizzare solo copia e incolla. Proton Pass ti consente di riempire automaticamente le tue password usando due clic per darti il tempo di valutare se un sito web è sicuro per te, ma puoi anche scegliere di non utilizzare il riempimento automatico se preferisci ridurre il rischio.

Proton ha ricevuto una certificazione ISO 27001 per dimostrare che siamo un’organizzazione trasparente e sicura. Tutto ciò che archivi nelle tue casseforti è protetto dalla crittografia end-to-end per garantire che la tua privacy sia rispettata e che nessuno tranne te possa accedere ai tuoi dati. Tuttavia, raccomandiamo sempre di essere cauti e di assicurarsi di creare password forti e varie e di proteggersi da phishing e malware con alias hide-my-email.