요컨대, Proton Pass 브라우저 앱은 더 이상 보고된 클릭재킹 공격에 취약하지 않습니다. 우리는 DEF CON 33에서 사이버 보안 연구원 Marek Tóth의 보고서를 통해 이 취약점에 대해 경고를 받았습니다.

Tóth는 그가 발견한 새로운 유형의 클릭재킹 공격에 대해 발표했습니다. 그는 공격이 어떻게 작동하는지, 그리고 비밀번호 관리자 브라우저 앱의 데이터가 어떻게 취약할 수 있는지 설명했습니다. Proton Pass는 그의 프레젠테이션에 사용된 예시 중 하나였으며, Tóth는 자신의 브라우저 앱에서 클릭재킹 공격을 성공적으로 수행했습니다. 우리는 Proton Pass의 1.31.6 버전 출시로 이 취약점을 해결했으며, 아직 업데이트하지 않았다면 Proton Pass 웹 앱을 업데이트할 것을 강력히 권장합니다.

클릭재킹 공격이란 무엇입니까?

OWASP(Open Worldwide Application Security Project)에서 정의한 바와 같이, 클릭재킹 공격(새 창)은 다음과 같이 정의할 수 있습니다:

““UI redress attack”이라고도 알려진 클릭재킹은 공격자가 여러 투명하거나 불투명한 레이어를 사용하여 사용자가 최상위 페이지를 클릭하려고 할 때 다른 페이지의 버튼이나 링크를 클릭하도록 속이는 것입니다. 따라서 공격자는 자신의 페이지를 위한 클릭을 “하이재킹”하여 다른 어플리케이션, 도메인 또는 둘 다가 소유한 다른 페이지로 라우팅합니다.”

Tóth는 그의 보고서에서 “많은 버그 보상 프로그램이 이 취약점을 “범위 밖” 섹션에 나열하고 있으며, 더 나은 경우에도 이를 받아들이지만 보상하지는 않는다”고 확인했습니다. 클릭재킹 위협은 이에 대한 보호 조치가 일반적이기 때문에 요즘 대부분의 기업에 위협으로 간주되지 않습니다.

그러나 Tóth는 여러 공격 변형을 가진 새로운 클릭재킹 공격 기술을 개발할 수 있었습니다. 그는 이 과정을 “악성 스크립트가 브라우저 확장이 DOM에 주입하는 UI 요소를 JavaScript를 사용하여 보이지 않게 조작하는 것”이라고 설명합니다. 그런 다음 그는 Proton Pass를 포함하여 브라우저 확장으로 사용할 수 있는 11개의 비밀번호 관리자에서 이 새로운 공격 유형을 테스트했습니다. 11개의 비밀번호 관리자 모두 Tóth의 DOM 기반 확장 클릭재킹 공격에 취약한 것으로 밝혀졌습니다.

Tóth가 어떻게 테스트를 수행했는지에 대한 세부사항은 전체 보고서(새 창)에서 확인할 수 있습니다.

Proton Pass는 사용하기에 안전한가요?

Proton Pass 앱의 1.31.6 버전에서 우리는 이 공격이 효과를 발휘하지 못하도록 수정 사항을 배포했습니다. 관련 확장 요소 및 오버레이가 해결되었으며, 보안 연구에 대한 공헌으로 Tóth를 당사의 보안 기여자 목록에 추가했습니다.

우리는 보안 전문가들이 버그 보상 프로그램을 통해 모든 Proton 앱을 테스트하도록 초대하며, 타사 사이버 보안 회사들이 정기적으로 코드 감사를 수행하여 우리 제품에 대한 모든 주장이 사실임을 보장합니다.

자신을 보호하려면 어떻게 해야 하나요?

Tóth는 보고서에서 클릭재킹 공격 및 기타 유형의 사이버 공격으로부터 자신을 보호하기 위해 취할 수 있는 조치에 대해 권장 사항을 제시합니다. 우리는 또한 다음 조치를 취할 것을 권장합니다:

  • 자동 업데이트가 활성화되어 있는지 확인하세요. 최신 버전의 Proton Pass를 실행하면 제로 데이 취약점으로부터 안전하게 보호받을 수 있습니다
  • 수동 자동완성을 비활성화하고 복사 및 붙여넣기만 사용하는 것을 고려하세요. Proton Pass는 웹사이트가 안전한지 스스로 평가할 시간을 주기 위해 두 번의 클릭으로 비밀번호를 자동완성할 수 있도록 허용하지만, 위험을 줄이고 싶다면 자동완성을 사용하지 않도록 선택할 수도 있습니다.

Proton은 투명하고 안전한 조직임을 입증하기 위해 ISO 27001 인증을 받았습니다. 보관함에 저장하는 모든 것은 종단 간 암호화로 보호되어 귀하의 개인정보가 유지되고 귀하 외에는 누구도 데이터에 접근할 수 없도록 보장합니다. 그러나 우리는 항상 주의를 기울이고 강력하고 다양한 비밀번호를 생성하고 있는지 확인하며 hide-my-email 별칭으로 피싱 및 멀웨어로부터 자신을 보호할 것을 권장합니다.