Вкратце, браузерное приложение Proton Pass больше не уязвимо для зарегистрированных атак кликджекинга. Мы были предупреждены об этой уязвимости отчетом исследователя кибербезопасности Марека Тота, представленным на DEF CON 33.

Тот выступил с презентацией о новом типе атаки кликджекинга, который он обнаружил. Он объяснил, как работала атака, и как данные в браузерном приложении вашего менеджера паролей могли быть уязвимы для нее. Proton Pass был одним из примеров, использованных в его презентации, и Тот успешно осуществил атаку кликджекинга на собственное браузерное приложение. Мы устранили эту уязвимость с выпуском версии 1.31.6 Proton Pass и настоятельно рекомендуем обновить ваше веб-приложение Proton Pass, если вы еще этого не сделали.

Что такое атака кликджекинга?

Согласно определению Open Worldwide Application Security Project (OWASP), атака кликджекинга(новое окно) может быть определена следующим образом:

«Кликджекинг, также известный как «атака с подменой пользовательского интерфейса», — это когда злоумышленник использует несколько прозрачных или непрозрачных слоев, чтобы обманом заставить пользователя нажать на кнопку или ссылку на другой странице, когда он намеревался нажать на страницу верхнего уровня. Таким образом, злоумышленник «угоняет» клики, предназначенные для его страницы, и направляет их на другую страницу, скорее всего, принадлежащую другому приложению, домену или обоим».

В своем отчете Тот определил, что «многие программы отлова ошибок указывают эту уязвимость в разделе «вне области действия», а в лучших случаях принимают её, но не вознаграждают». Угрозы кликджекинга не считаются угрозой для большинства компаний в наши дни, поскольку защита от них широко распространена.

Однако Тот смог разработать новую технику атаки кликджекинга с несколькими вариантами атаки. Он описывает процесс как создание «вредоносного скрипта, который манипулирует элементами пользовательского интерфейса, которые расширения браузера внедряют в DOM, делая их невидимыми с помощью JavaScript». Затем он протестировал этот новый тип атаки на 11 менеджерах паролей, которые можно использовать как расширения браузера, включая Proton Pass. Все 11 менеджеров паролей оказались уязвимы для атаки кликджекинга расширений на основе DOM от Тота.

Вы можете узнать подробности того, как Тот проводил свое тестирование, в полном отчете(новое окно).

Безопасно ли использовать Proton Pass?

В версии 1.31.6 приложения Proton Pass мы выпустили исправление, предотвращающее эффективность этой атаки. Соответствующие элементы расширения и наложения были доработаны, и мы также добавили Тота в наш список Участников программы безопасности за его вклад в наши исследования безопасности.

Мы приглашаем экспертов по безопасности тестировать все наши приложения Proton через нашу программу отлова ошибок, а сторонние фирмы по кибербезопасности регулярно проводят аудиты нашего кода, чтобы гарантировать, что все заявления, которые мы делаем о наших продуктах, соответствуют действительности.

Что мне делать, чтобы защитить себя?

В своем отчете Тот дает рекомендации о действиях, которые вы можете предпринять, чтобы защитить себя от атак кликджекинга, а также других типов кибератак. Мы также рекомендуем предпринять следующие действия:

  • Проверьте, включено ли у вас автоматическое обновление. Использование самой последней версии Proton Pass помогает вам оставаться защищенным от уязвимостей нулевого дня.
  • Рассмотрите возможность отключения ручного автозаполнения и использования только копирования и вставки. Proton Pass позволяет вам автоматически заполнять ваши пароли двумя кликами, чтобы дать вам время оценить, безопасен ли веб-сайт для вас, но вы также можете отказаться от использования автозаполнения, если предпочитаете снизить риск.

Proton получил сертификацию ISO 27001, чтобы доказать, что мы прозрачная и безопасная организация. Всё, что вы храните в своих хранилищах, защищено сквозным шифрованием, чтобы гарантировать соблюдение вашей конфиденциальности, и никто, кроме вас, не может получить доступ к вашим данным. Однако мы всегда рекомендуем проявлять осторожность и следить за тем, чтобы вы создавали надежные, разнообразные пароли и защищали себя от фишинга и вредоносных программ с помощью псевдонимов hide-my-email.