Kort sagt, webbläsarappen Proton Pass är inte längre sårbar för rapporterade clickjacking-attacker. Vi varnades om denna sårbarhet genom en rapport av cybersäkerhetsforskaren Marek Tóth som gavs vid DEF CON 33.

Tóth höll en presentation om en ny typ av clickjacking-attack som han hade upptäckt. Han förklarade hur attacken fungerade och hur data i din lösenordshanterares webbläsarapp kunde vara sårbara för den. Proton Pass var ett av exemplen som användes i hans presentation och Tóth genomförde framgångsrikt en clickjacking-attack på sin egen webbläsarapp. Vi har åtgärdat denna sårbarhet i och med utrullningen av version 1.31.6 av Proton Pass, och rekommenderar starkt att du uppdaterar din Proton Pass-webbapp om du inte redan har gjort det.

Vad är en clickjacking-attack?

Enligt definitionen från Open Worldwide Application Security Project (OWASP) kan en clickjacking-attack(nytt fönster) definieras som följande:

“Clickjacking, även känt som en ‘UI redress attack’, är när en angripare använder flera transparenta eller ogenomskinliga lager för att lura en användare att klicka på en knapp eller länk på en annan sida när de avsåg att klicka på sidan på toppnivån. På så sätt ‘kapar’ angriparen klick avsedda för deras sida och dirigerar dem till en annan sida, mest troligt ägd av en annan applikation, domän eller både och.”

I sin rapport identifierade Tóth att “många buggbelöningsprogram har denna sårbarhet listad i sektionen ‘utanför omfattning’, och i bättre fall accepterar de den men belönar den inte.” Clickjacking-hot anses inte vara ett hot mot de flesta företag nuförtiden eftersom skydd mot det är vanliga.

Tóth kunde dock utveckla en ny teknik för clickjacking-attacker med flera attackvarianter. Han beskriver processen som att skapa “ett skadligt skript manipulerar UI-element som webbläsartillägg injicerar i DOM genom att göra dem osynliga med hjälp av JavaScript.” Han testade sedan denna nya attacktyp på 11 lösenordshanterare som kan användas som webbläsartillägg, inklusive Proton Pass. Alla 11 lösenordshanterare visade sig vara sårbara för Tóths DOM-baserade tilläggs-clickjacking-attack.

Du kan ta reda på detaljerna om hur Tóth utförde sina tester i den fullständiga rapporten(nytt fönster).

Är det säkert att använda Proton Pass?

I version 1.31.6 av Proton Pass-appen släppte vi en korrigering för att förhindra att denna attack blir effektiv. De relevanta tilläggselementen och överlägget har åtgärdats, och vi har också lagt till Tóth i vår lista över Säkerhetsbidragsgivare för hans bidrag till vår säkerhetsforskning.

Vi bjuder in säkerhetsexperter att testa alla våra Proton-appar genom vårt buggbelöningsprogram, och tredjepartscybersäkerhetsföretag utför granskningar av vår kod regelbundet för att säkerställa att alla påståenden vi gör om våra produkter är sanna.

Vad ska jag göra för att skydda mig?

I sin rapport ger Tóth rekommendationer om åtgärder du kan vidta för att skydda dig mot clickjacking-attacker samt andra typer av cyberattacker. Vi rekommenderar också att vidta följande åtgärder:

  • Kontrollera att du har automatiska uppdateringar aktiverade. Att köra den senaste versionen av Proton Pass hjälper dig att hålla dig säker mot noll-dagars-sårbarheter
  • Överväg att inaktivera manuell autofyll och endast använda klipp ut och klistra in. Proton Pass låter dig fylla i dina lösenord automatiskt med två klick för att ge dig tid att bedöma om en webbplats är säker för dig själv, men du kan också välja att inte använda autofyll om du föredrar att minska risken.

Proton har erhållit en ISO 27001-certifiering för att bevisa att vi är en transparent och säker organisation. Allt du lagrar i dina valv skyddas av end-to-end-kryptering för att säkerställa att din integritet upprätthålls och att ingen utom du kan få åtkomst till dina data. Vi rekommenderar dock alltid att vara försiktig och se till att du skapar starka, varierade lösenord och skyddar dig mot nätfiske och skadlig kod med hide-my-email-alias.