Em suma, a aplicação de navegador Proton Pass já não é vulnerável aos ataques de clickjacking reportados. Fomos alertados para esta vulnerabilidade por um relatório do investigador de cibersegurança Marek Tóth apresentado na DEF CON 33.

Tóth fez uma apresentação sobre um novo tipo de ataque de clickjacking que tinha descoberto. Explicou como o ataque funcionava e como os dados na sua aplicação de navegador de gestor de palavras-passe poderiam estar vulneráveis ao mesmo. O Proton Pass foi um dos exemplos utilizados na sua apresentação e Tóth executou com sucesso um ataque de clickjacking na sua própria aplicação de navegador. Resolvemos esta vulnerabilidade com o lançamento da versão 1.31.6 do Proton Pass e recomendamos vivamente que atualize a sua aplicação web Proton Pass, se ainda não o fez.

O que é um ataque de clickjacking?

Conforme definido pelo Open Worldwide Application Security Project (OWASP), um ataque de clickjacking(nova janela) pode ser definido da seguinte forma:

“O clickjacking, também conhecido como um “ataque de reparação de UI”, ocorre quando um atacante utiliza várias camadas transparentes ou opacas para enganar um utilizador e levá-lo a clicar num botão ou ligação noutra página quando este tencionava clicar na página de nível superior. Assim, o atacante está a “sequestrar” cliques destinados à sua página e a encaminhá-los para outra página, muito provavelmente propriedade de outra aplicação, domínio ou ambos.”

No seu relatório, Tóth identificou que “muitos programas de recompensas por deteção de erros têm esta vulnerabilidade listada na secção “fora do âmbito” e, nos melhores casos, aceitam-na, mas não a recompensam.” As ameaças de clickjacking não são consideradas uma ameaça para a maioria das empresas atualmente porque as proteções contra elas são comuns.

No entanto, Tóth conseguiu desenvolver uma nova técnica de ataque de clickjacking com múltiplas variantes de ataque. Ele descreve o processo como a criação de “um script malicioso que manipula elementos da UI que as extensões do navegador injetam no DOM, tornando-os invisíveis utilizando JavaScript.” De seguida, testou este novo tipo de ataque em 11 gestores de palavras-passe que podem ser utilizados como extensões de navegador, incluindo o Proton Pass. Todos os 11 gestores de palavras-passe revelaram-se vulneráveis ao ataque de clickjacking de extensão baseado em DOM de Tóth.

Pode descobrir os detalhes de como Tóth realizou os seus testes no relatório completo(nova janela).

É seguro utilizar o Proton Pass?

Na versão 1.31.6 da aplicação Proton Pass, lançámos uma correção para impedir que este ataque seja eficaz. Os elementos de extensão relevantes e a sobreposição foram tratados, e também adicionámos Tóth à nossa lista de Contribuintes de Segurança pelas suas contribuições para a nossa investigação de segurança.

Convidamos especialistas de segurança a testar todas as nossas aplicações Proton através do nosso programa de recompensas por deteção de erros, e empresas de cibersegurança terceiras realizam auditorias do nosso código regularmente para garantir que todas as afirmações que fazemos sobre os nossos produtos são verdadeiras.

O que devo fazer para me proteger?

No seu relatório, Tóth faz recomendações sobre ações que pode tomar para se proteger contra ataques de clickjacking, bem como outros tipos de ciberataques. Recomendamos também que tome as seguintes medidas:

  • Verifique se tem as atualizações automáticas ativadas. Executar a versão mais recente do Proton Pass ajuda a manter-se seguro contra vulnerabilidades de dia zero
  • Considere desativar o preenchimento automático manual e utilizar apenas copiar e colar. O Proton Pass permite-lhe preencher automaticamente as suas palavras-passe utilizando dois cliques para lhe dar tempo de avaliar se um sítio web é seguro, mas também pode optar por não utilizar o preenchimento automático se preferir reduzir o risco.

A Proton recebeu uma certificação ISO 27001 para provar que somos uma organização transparente e segura. Tudo o que armazena nos seus cofres é protegido por encriptação ponto a ponto para garantir que a sua privacidade é mantida e que ninguém além de si pode aceder aos seus dados. No entanto, recomendamos sempre cautela e garantir que está a criar palavras-passe fortes e variadas e a proteger-se contra phishing e malware com alias hide-my-email.