Kort fortalt er Proton Pass-nettleserappen ikke lenger sårbar for rapporterte clickjacking-angrep. Vi ble varslet om denne sårbarheten av en rapport fra cybersikkerhetsforsker Marek Tóth, presentert på DEF CON 33.

Tóth holdt en presentasjon om en ny type clickjacking-angrep som han hadde oppdaget. Han forklarte hvordan angrepet fungerte, og hvordan dataene i passordappen din sin nettleser-app kunne være sårbare for det. Proton Pass var et av eksemplene som ble brukt i presentasjonen hans, og Tóth utførte vellykket et clickjacking-angrep på sin egen nettleser-app. Vi har håndtert denne sårbarheten med utrullingen av versjon 1.31.6 av Proton Pass, og vil på det sterkeste anbefale å oppdatere Proton Pass-nettappen din hvis du ikke allerede har gjort det.

Hva er et clickjacking-angrep?

Som definert av Open Worldwide Application Security Project (OWASP), kan et clickjacking-angrep(nytt vindu) defineres som følgende:

«Clickjacking, også kjent som et «UI-gjenopprettingsangrep», er når en angriper bruker flere gjennomsiktige eller ugjennomsiktige lag for å lure en bruker til å klikke på en knapp eller lenke på en annen side når de hadde til hensikt å klikke på toppnivåsiden. Dermed ‘kaprer’ angriperen klikk som er ment for siden deres, og ruter dem til en annen side, mest sannsynlig eid av en annen applikasjon, et annet domene, eller begge deler.»

I rapporten sin identifiserte Tóth at «mange dusørprogrammer for programvarefeil har denne sårbarheten oppført i «utenfor omfang»-delen, og i bedre tilfeller aksepterer de den, men belønner den ikke.» Clickjacking-trusler anses ikke å være en trussel mot de fleste bedrifter i disse dager fordi beskyttelser mot dem er vanlige.

Tóth klarte imidlertid å utvikle en ny teknikk for clickjacking-angrep med flere angrepsvarianter. Han beskriver prosessen som å lage «et ondsinnet skript manipulerer UI-elementer som nettleserutvidelser injiserer i DOM-en ved å gjøre dem usynlige ved hjelp av JavaScript.» Han testet deretter denne nye angrepstypen på 11 passordapper som kan brukes som nettleserutvidelser, inkludert Proton Pass. Alle de 11 passordappene ble funnet å være sårbare for Tóths DOM-baserte utvidelses-clickjacking-angrep.

Du kan finne ut detaljene om hvordan Tóth utførte testingen sin i den fullstendige rapporten(nytt vindu).

Er Proton Pass sikkert å bruke?

I versjon 1.31.6 av Proton Pass-appen ga vi ut en fiks for å forhindre at dette angrepet er effektivt. De relevante utvidelseselementene og overlegget har blitt håndtert, og vi har også lagt til Tóth på listen vår over sikkerhetsbidragsytere for hans bidrag til sikkerhetsforskningen vår.

Vi inviterer sikkerhetseksperter til å teste alle Proton-appene våre gjennom vårt dusørprogram for programvarefeil, og tredjeparts cybersikkerhetsselskaper gjennomfører revisjoner av koden vår jevnlig for å sikre at alle påstandene vi kommer med om produktene våre, er sanne.

Hva bør jeg gjøre for å beskytte meg selv?

I rapporten sin kommer Tóth med anbefalinger om tiltak du kan ta for å beskytte deg mot clickjacking-angrep samt andre typer nettangrep. Vi anbefaler også å ta følgende tiltak:

  • Sjekk at du har aktivert automatiske oppdateringer. Å kjøre den nyeste versjonen av Proton Pass hjelper deg med å holde deg sikker mot nulldagssårbarheter
  • Vurder å deaktivere manuell autofyll og bare bruke kopier og lim inn. Proton Pass lar deg fylle ut passordene dine automatisk ved å bruke to klikk for å gi deg tid til å vurdere om et nettsted er sikkert for deg selv, men du kan også velge å ikke bruke autofyll hvis du foretrekker å redusere risikoen.

Proton har mottatt en ISO 27001-sertifisering for å bevise at vi er en transparent og sikker organisasjon. Alt du lagrer i hvelvene dine er beskyttet av ende-til-ende-kryptering for å sikre at personvernet ditt opprettholdes og at ingen andre enn du kan få tilgang til dataene dine. Vi anbefaler imidlertid alltid å være forsiktig og sørge for at du oppretter sterke, varierte passord og beskytter deg mot nettfisking og skadelig programvare med hide-my-email-aliaser.