Kısacası, Proton Pass tarayıcı uygulaması artık bildirilen clickjacking saldırılarına karşı savunmasız değildir. Bu güvenlik açığı konusunda, siber güvenlik araştırmacısı Marek Tóth’un DEF CON 33’te sunduğu bir raporla uyarıldık.

Tóth, keşfettiği yeni bir clickjacking saldırısı türü hakkında bir sunum yaptı. Saldırının nasıl çalıştığını ve parola yöneticisi tarayıcı uygulamanızdaki verilerin buna karşı nasıl savunmasız olabileceğini açıkladı. Proton Pass, sunumunda kullanılan örneklerden biriydi ve Tóth kendi tarayıcı uygulamasında başarılı bir şekilde bir clickjacking saldırısı gerçekleştirdi. Proton Pass’in 1.31.6 sürümünün kullanıma sunulmasıyla bu güvenlik açığını giderdik ve henüz yapmadıysanız Proton Pass web uygulamanızı güncellemenizi şiddetle öneririz.

Clickjacking saldırısı nedir?

Open Worldwide Application Security Project (OWASP) tarafından tanımlandığı üzere, bir clickjacking saldırısı(yeni pencere) (tıklama sahteciliği) şu şekilde tanımlanabilir:

“Tıklama tuzağı” (UI redress attack) olarak da bilinen clickjacking, bir saldırganın, kullanıcıyı en üst düzey sayfaya tıklamayı amaçlarken başka bir sayfadaki bir düğmeye veya bağlantıya tıklaması için kandırmak amacıyla birden fazla şeffaf veya opak katman kullanmasıdır. Böylece saldırgan, kendi sayfasına yönelik tıklamaları “ele geçirir” ve bunları büyük olasılıkla başka bir uygulamaya, etki alanına veya her ikisine de ait olan başka bir sayfaya yönlendirir.”

Tóth raporunda, “birçok hata bulma ödül programının bu güvenlik açığını “kapsam dışı” bölümünde listelediğini ve daha iyi durumlarda bunu kabul ettiklerini ancak ödüllendirmediklerini” belirledi. Clickjacking tehditleri, buna karşı korumalar yaygın olduğu için günümüzde çoğu işletme için bir tehdit olarak kabul edilmiyor.

Ancak Tóth, birden fazla saldırı varyantı olan yeni bir clickjacking saldırı tekniği geliştirmeyi başardı. Süreci, “kötü amaçlı bir betiğin, tarayıcı eklentilerinin DOM’a enjekte ettiği UI öğelerini JavaScript kullanarak görünmez hale getirerek manipüle etmesi” olarak tanımlıyor. Daha sonra bu yeni saldırı türünü, tarayıcı eklentisi olarak kullanılabilen 11 parola yöneticisi üzerinde test etti; bunlara Proton Pass de dahildi. 11 parola yöneticisinin tamamının Tóth’un DOM tabanlı eklenti clickjacking saldırısına karşı savunmasız olduğu görüldü.

Tóth’un testini nasıl gerçekleştirdiğinin ayrıntılarını tam raporda(yeni pencere) bulabilirsiniz.

Proton Pass’i kullanmak güvenli mi?

Proton Pass uygulamasının 1.31.6 sürümünde, bu saldırının etkili olmasını önlemek için bir düzeltme yayınladık. İlgili eklenti öğeleri ve yer paylaşımı ele alındı ve güvenlik araştırmamıza yaptığı katkılardan dolayı Tóth’u da Güvenlik Katkıda Bulunanlar listemize ekledik.

Güvenlik uzmanlarını hata bulma ödül programımız aracılığıyla tüm Proton uygulamalarımızı test etmeye davet ediyoruz ve ürünlerimiz hakkında öne sürdüğümüz tüm iddiaların doğru olduğundan emin olmak için üçüncü taraf siber güvenlik firmaları düzenli olarak kod denetimlerimizi gerçekleştiriyor.

Kendimi korumak için ne yapmalıyım?

Tóth, raporunda clickjacking saldırılarının yanı sıra diğer siber saldırı türlerine karşı kendinizi korumak için alabileceğiniz önlemler hakkında önerilerde bulunuyor. Biz de aşağıdaki önlemleri almanızı öneriyoruz:

  • Otomatik güncellemelerin etkin olduğundan emin olun. Proton Pass’in en son sürümünü çalıştırmak, sıfır gün (day 0) güvenlik açıklarına karşı güvende kalmanıza yardımcı olur
  • Manuel otomatik doldurmayı devre dışı bırakmayı ve yalnızca kopyala yapıştır kullanmayı düşünün. Proton Pass, bir sitenin güvenli olup olmadığını kendiniz değerlendirmeniz için size zaman tanımak amacıyla iki tıklama kullanarak parolarınızı otomatik doldurmanıza izin verir, ancak riski azaltmayı tercih ederseniz otomatik doldurmayı kullanmamayı da seçebilirsiniz.

Proton, şeffaf ve güvenli bir kuruluş olduğumuzu kanıtlamak için ISO 27001 sertifikası almıştır. Kasalarınızda depoladığınız her şey, gizliliğinizin korunmasını sağlamak için uçtan uca şifreleme ile korunur ve verilerinize sizden başka kimse erişemez. Ancak her zaman dikkatli olmanızı ve güçlü, çeşitli parolalar oluşturduğunuzdan ve hide-my-email takma adları ile kimlik avı ve kötü amaçlı yazılımlara karşı kendinizi koruduğunuzdan emin olmanızı öneririz.