Krótko mówiąc, aplikacja przeglądarkowa Proton Pass nie jest już podatna na zgłoszone ataki typu clickjacking. Zostaliśmy powiadomieni o tej podatności raportem badacza cyberbezpieczeństwa Marka Tótha przedstawionym na DEF CON 33.

Tóth wygłosił prezentację na temat nowego rodzaju ataku clickjacking, który odkrył. Wyjaśnił, jak działał atak i jak dane w Twojej aplikacji przeglądarkowej menadżera haseł mogły być na niego podatne. Proton Pass był jednym z przykładów użytych w jego prezentacji i Tóth z powodzeniem przeprowadził atak clickjacking na własnej aplikacji przeglądarkowej. Rozwiązaliśmy tę podatność wraz z wdrożeniem wersji 1.31.6 Proton Pass i zdecydowanie zalecamy zaktualizowanie aplikacji internetowej Proton Pass, jeśli jeszcze tego nie zrobiłeś.

Czym jest atak clickjacking?

Według definicji Open Worldwide Application Security Project (OWASP), atak clickjacking(nowe okno) można zdefiniować następująco:

„Clickjacking, znany również jako «atak redresingu UI», polega na tym, że atakujący używa wielu przezroczystych lub nieprzezroczystych warstw, aby oszukać użytkownika i skłonić go do kliknięcia przycisku lub linku na innej stronie, gdy zamierzał kliknąć na stronie najwyższego poziomu. W ten sposób atakujący «przejmuje» kliknięcia przeznaczone dla jego strony i przekierowuje je na inną stronę, najprawdopodobniej należącą do innej aplikacji, domeny lub obu”.

W swoim raporcie Tóth zidentyfikował, że „wiele programów premii za wykrycie błędów ma tę podatność wymienioną w sekcji «poza zakresem» (out of scope), a w lepszych przypadkach akceptują ją, ale nie nagradzają”. Zagrożenia typu clickjacking nie są uważane za zagrożenie dla większości firm w dzisiejszych czasach, ponieważ zabezpieczenia przed nimi są powszechne.

Jednak Tóth był w stanie opracować nową technikę ataku clickjacking z wieloma wariantami. Opisuje ten proces jako tworzenie „złośliwego skryptu manipulującego elementami UI, które rozszerzenia przeglądarki wstrzykują do DOM, czyniąc je niewidocznymi za pomocą JavaScript”. Następnie przetestował ten nowy typ ataku na 11 menadżerach haseł, które mogą być używane jako rozszerzenia przeglądarki, w tym Proton Pass. Wszystkie 11 menadżerów haseł okazało się podatnych na atak clickjacking oparty na DOM w rozszerzeniach autorstwa Tótha.

Możesz poznać szczegóły dotyczące sposobu, w jaki Tóth przeprowadził swoje testy, w pełnym raporcie(nowe okno).

Czy używanie Proton Pass jest bezpieczne?

W wersji 1.31.6 aplikacji Proton Pass wydaliśmy poprawkę zapobiegającą skuteczności tego ataku. Odpowiednie elementy rozszerzenia i nakładki zostały poprawione, a także dodaliśmy Tótha do naszej listy Współpracowników ds. Bezpieczeństwa za jego wkład w nasze badania nad bezpieczeństwem.

Zapraszamy ekspertów ds. bezpieczeństwa do testowania wszystkich naszych aplikacji Proton w ramach naszego programu premii za wykrycie błędów, a zewnętrzne firmy ds. cyberbezpieczeństwa regularnie przeprowadzają audyty naszego kodu, aby zapewnić, że wszystkie twierdzenia, jakie wypowiadamy na temat naszych produktów, są prawdziwe.

Co powinienem zrobić, aby się chronić?

W swoim raporcie Tóth przedstawia zalecenia dotyczące działań, jakie możesz podjąć, aby chronić się przed atakami typu clickjacking, a także innymi rodzajami cyberataków. Zalecamy również podjęcie następujących działań:

  • Sprawdź, czy masz włączone automatyczne aktualizacje. Uruchamianie najnowszej wersji Proton Pass pomaga zachować bezpieczeństwo przed podatnościami typu day-zero
  • Rozważ wyłączenie ręcznego autouzupełniania i używanie tylko kopiowania i wklejania. Proton Pass umożliwia autouzupełnianie haseł za pomocą dwóch kliknięć, aby dać Ci czas na ocenę, czy strona internetowa jest bezpieczna, ale możesz też zrezygnować z używania autouzupełniania, jeśli wolisz zmniejszyć ryzyko.

Proton otrzymał certyfikat ISO 27001, aby udowodnić, że jesteśmy przejrzystą i bezpieczną organizacją. Wszystko, co przechowujesz w swoich sejfach, jest chronione przez szyfrowanie end-to-end, aby zapewnić, że Twoja prywatność jest zachowana i nikt poza Tobą nie może uzyskać dostępu do Twoich danych. Jednak zawsze zalecamy zachowanie ostrożności i upewnienie się, że tworzysz silne, zróżnicowane hasła i chronisz się przed phishingiem i złośliwym oprogramowaniem za pomocą aliasów hide-my-email.