Pe scurt, aplicația de browser Proton Pass nu mai este vulnerabilă la atacurile de tip clickjacking raportate. Am fost alertați cu privire la această vulnerabilitate printr-un raport al cercetătorului de securitate cibernetică Marek Tóth prezentat la DEF CON 33.

Tóth a ținut o prezentare despre un nou tip de atac clickjacking pe care l-a descoperit. El a explicat cum funcționa atacul și cum datele din aplicația dvs. de browser manager de parole ar putea fi vulnerabile la acesta. Proton Pass a fost unul dintre exemplele folosite în prezentarea sa, iar Tóth a efectuat cu succes un atac clickjacking asupra propriei sale aplicații de browser. Am rezolvat această vulnerabilitate odată cu lansarea versiunii 1.31.6 a Proton Pass și vă recomandăm cu tărie să faceți actualizare a aplicației web Proton Pass dacă nu ați făcut-o deja.

Ce este un atac clickjacking?

Conform definiției Open Worldwide Application Security Project (OWASP), un atac clickjacking(fereastră nouă) poate fi definit după cum urmează:

„Clickjacking, cunoscut și sub numele de „atac de redresare UI”, este atunci când un atacator folosește mai multe straturi transparente sau opace pentru a păcăli un utilizator să facă clic pe un buton sau link pe o altă pagină atunci când intenționa să facă clic pe pagina de nivel superior. Astfel, atacatorul „deturnează” clicurile destinate paginii lor și face direcționare către o altă pagină, cel mai probabil deținută de o altă aplicație, domeniu sau ambele.”

În raportul său, Tóth a identificat că „multe programe de recompense pentru remediere erori au această vulnerabilitate listată în secțiunea „în afara domeniului de aplicare”, iar în cazurile mai bune o acceptă, dar nu o recompensează.” Amenințările de tip clickjacking nu sunt considerate a fi o amenințare pentru majoritatea companiilor în zilele noastre, deoarece protecțiile împotriva acestora sunt comune.

Cu toate acestea, Tóth a reușit să dezvolte o nouă tehnică de atac clickjacking cu variante multiple de atac. El descrie procesul ca fiind crearea „unui script rău intenționat manipulează elementele UI pe care extensiile de browser le injectează în DOM făcându-le invizibile folosind JavaScript.” Apoi a testat acest nou tip de atac pe 11 manageri de parole care pot fi folosiți ca extensii de browser, inclusiv Proton Pass. Toți cei 11 manageri de parole au fost găsiți a fi vulnerabili la atacul clickjacking bazat pe DOM al lui Tóth.

Puteți afla detalii despre cum și-a efectuat Tóth testarea în raportul complet(fereastră nouă).

Proton Pass este sigur de utilizat?

În versiunea 1.31.6 a aplicației Proton Pass, am lansat o remediere pentru a preveni eficiența acestui atac. Elementele relevante ale extensiei și suprapunerea au fost rezolvate și l-am adăugat, de asemenea, pe Tóth pe lista noastră de Colaboratori de securitate pentru contribuțiile sale la cercetarea noastră de securitate.

Invităm experții în securitate să testeze toate aplicațiile noastre Proton prin intermediul programului nostru de recompense pentru remediere erori, iar firmele terțe de securitate cibernetică efectuează în mod regulat audituri ale codului nostru pentru a ne asigura că toate afirmațiile pe care le facem despre produsele noastre sunt adevărate.

Ce ar trebui să fac pentru a mă proteja?

În raportul său, Tóth face recomandări cu privire la acțiunile pe care le puteți întreprinde pentru a vă proteja împotriva atacurilor de tip clickjacking, precum și a altor tipuri de atacuri cibernetice. De asemenea, vă recomandăm să luați următoarele măsuri:

  • Verificați dacă aveți actualizări automate activate. Rularea celei mai recente versiuni a Proton Pass vă ajută să rămâneți protejat împotriva vulnerabilităților de tip day 0
  • Luați în considerare dezactivare funcției de completare automată manuală și utilizarea exclusivă a copierii și lipirii. Proton Pass vă permite să completați automat parolele folosind două clicuri pentru a vă oferi timp să evaluați dacă un site web este sigur, dar puteți alege, de asemenea, să nu utilizați funcția de completare automată dacă preferați să reduceți riscul.

Proton a primit o certificare ISO 27001 pentru a demonstra că suntem o organizație transparentă și sigură. Tot ceea ce stocați în seifurile dvs. este protejat prin criptare de la un capăt la altul pentru a vă asigura că vi se respectă confidențialitatea și că nimeni în afară de dvs. nu vă poate accesa datele. Cu toate acestea, vă recomandăm întotdeauna să fiți precauți și să vă asigurați că creați parole puternice și variate și vă protejați împotriva phishing-ului și malware-ului cu aliasuri e-mail hide-my-email.