Kortom, de Proton Pass-browserapp is niet langer kwetsbaar voor gemelde clickjacking-aanvallen. We werden geattendeerd op deze kwetsbaarheid door een rapport van cyberbeveiligingsonderzoeker Marek Tóth, gepresenteerd op DEF CON 33.

Tóth gaf een presentatie over een nieuw type clickjacking-aanval dat hij had ontdekt. Hij legde uit hoe de aanval werkte en hoe de gegevens in de browserapp van uw wachtwoordbeheerder hier kwetsbaar voor zouden kunnen zijn. Proton Pass was een van de voorbeelden die in zijn presentatie werden gebruikt en Tóth voerde met succes een clickjacking-aanval uit op zijn eigen browserapp. We hebben deze kwetsbaarheid aangepakt met de uitrol van versie 1.31.6 van Proton Pass, en raden u ten zeerste aan uw Proton Pass-webapp te updaten als u dat nog niet hebt gedaan.

Wat is een clickjacking-aanval?

Zoals gedefinieerd door het Open Worldwide Application Security Project (OWASP), kan een clickjacking-aanval(nieuw venster) als volgt worden gedefinieerd:

“Clickjacking, ook bekend als een ‘UI redress attack’, is wanneer een aanvaller meerdere transparante of ondoorzichtige lagen gebruikt om een gebruiker te misleiden om op een knop of koppeling op een andere pagina te klikken wanneer ze van plan waren op de bovenste pagina te klikken. Zo ‘kaapt’ de aanvaller klikken die voor hun pagina bedoeld waren en leidt deze via routering naar een andere pagina, hoogstwaarschijnlijk eigendom van een andere toepassing, domein of beide.”

In zijn rapport stelde Tóth vast dat “veel Bug Bounty-programma’s deze kwetsbaarheid vermelden in de sectie ‘buiten scope’, en in betere gevallen accepteren ze het maar belonen ze het niet.” Clickjacking-bedreigingen worden tegenwoordig voor de meeste bedrijven niet als een bedreiging beschouwd omdat bescherming ertegen gebruikelijk is.

Tóth was echter in staat een nieuwe clickjacking-aanvalstechniek te ontwikkelen met meerdere aanvalsvarianten. Hij beschrijft het proces als het creëren van “een kwaadaardig script dat UI-elementen manipuleert die browserextensies in de DOM injecteren door ze onzichtbaar te maken met behulp van JavaScript.” Vervolgens testte hij dit nieuwe aanvalstype op 11 wachtwoordbeheerders die als browserextensies kunnen worden gebruikt, waaronder Proton Pass. Alle 11 wachtwoordbeheerders bleken kwetsbaar te zijn voor de DOM-gebaseerde extensie-clickjacking-aanval van Tóth.

U kunt de gegevens vinden over hoe Tóth zijn tests uitvoerde in het volledige rapport(nieuw venster).

Is Proton Pass veilig om te gebruiken?

In versie 1.31.6 van de Proton Pass-app hebben we een oplossing uitgebracht om te voorkomen dat deze aanval effectief is. De relevante extensie-elementen en overlay zijn aangepakt, en we hebben Tóth ook toegevoegd aan onze lijst met Security Contributors voor zijn bijdragen aan ons beveiligingsonderzoek.

We nodigen beveiligingsexperts uit om al onze Proton-apps te testen via ons Bug Bounty-programma, en cyberbeveiligingsbedrijven van derden voeren regelmatig audits van onze code uit om ervoor te zorgen dat alle claims die we over onze producten maken waar zijn.

Wat moet ik doen om mezelf te beschermen?

In zijn rapport doet Tóth aanbevelingen over acties die u kunt ondernemen om uzelf te beschermen tegen clickjacking-aanvallen en andere soorten cyberaanvallen. Wij raden ook aan de volgende acties te ondernemen:

  • Controleer of u automatische updates hebt ingeschakeld. Het draaien van de meest recente versie van Proton Pass helpt u veilig te blijven tegen day 0-kwetsbaarheden
  • Overweeg handmatig automatisch aanvullen uit te schakelen en alleen kopiëren en plakken te gebruiken. Met Proton Pass kunt u uw wachtwoorden automatisch aanvullen met twee klikken om u de tijd te geven zelf te beoordelen of een website veilig is, maar u kunt er ook voor kiezen om automatisch aanvullen niet te gebruiken als u liever het risico vermindert.

Proton heeft een ISO 27001-certificering ontvangen om te bewijzen dat we een transparante en veilige organisatie zijn. Alles wat u in uw kluizen opslaat, wordt beschermd door end-to-end versleuteling om ervoor te zorgen dat uw privacy wordt gehandhaafd en niemand behalve u toegang heeft tot uw gegevens. We raden echter altijd aan voorzichtig te zijn en ervoor te zorgen dat u sterke, gevarieerde wachtwoorden aanmaakt en uzelf beschermt tegen phishing en malware met hide-my-email aliassen.