簡而言之,Proton Pass 瀏覽器應用程式不再容易受到報告的點擊劫持攻擊。網路安全研究員 Marek Tóth 在 DEF CON 33 上發表的報告提醒我們注意此弱點。
Tóth 發表了關於他發現的一種新型點擊劫持攻擊的演講。他解釋了攻擊的運作方式,以及您的密碼管理程式瀏覽器應用程式中的資料如何可能受到攻擊。Proton Pass 是他演講中使用的範例之一,Tóth 成功地對他自己的瀏覽器應用程式進行了點擊劫持攻擊。我們已隨著 Proton Pass 1.31.6 版的推出解決了此弱點,如果您尚未更新,我們強烈建議您更新您的 Proton Pass 網頁應用程式。
什麼是點擊劫持攻擊?
正如 Open Worldwide Application Security Project (OWASP) 所定義,點擊劫持攻擊(新視窗)可以定義如下:
「點擊劫持,也稱為『UI 偽裝攻擊』,是指攻擊者使用多個透明或不透明層來誘騙使用者點擊另一頁面上的按鈕或連結,而他們原本打算點擊頂層頁面。因此,攻擊者『劫持』了原本針對其頁面的點擊,並將其路由到另一個頁面,該頁面很可能由另一個應用程式、網域或兩者擁有。」
在他的報告中,Tóth 指出,「許多漏洞賞金計畫將此弱點列在『範圍外』部分,在較好的情況下,他們接受它但不給予獎勵。」如今,點擊劫持威脅不被視為大多數企業的威脅,因為針對它的保護措施很常見。
然而,Tóth 能夠開發出一種具有多種攻擊變體的新點擊劫持攻擊技術。他將該過程描述為建立「一個惡意指令碼,透過使用 JavaScript 使瀏覽器延伸功能注入 DOM 的 UI 元素不可見來操縱它們。」然後,他在 11 個可用作瀏覽器延伸功能的密碼管理程式(包括 Proton Pass)上測試了這種新的攻擊類型。所有 11 個密碼管理程式都被發現容易受到 Tóth 的基於 DOM 的延伸功能點擊劫持攻擊。
您可以在完整報告(新視窗)中找到有關 Tóth 如何進行測試的詳細資料。
使用 Proton Pass 安全嗎?
在 Proton Pass 應用程式的 1.31.6 版本中,我們發布了一個修補程式以防止此攻擊生效。相關的延伸功能元素和覆蓋層已獲得解決,我們也將 Tóth 加入我們的安全貢獻者名單,以感謝他對我們安全研究的貢獻。
我們邀請安全專家透過我們的漏洞賞金計畫測試我們所有的 Proton 應用程式,第三方網路安全公司也會定期對我們的代碼進行稽核,以確保我們對產品所做的所有聲明都是真實的。
我應該做什麼來保護自己?
在他的報告中,Tóth 提出了關於您可以採取哪些行動來保護自己免受點擊劫持攻擊以及其他類型網路攻擊的建議。我們也建議採取以下行動:
- 檢查您是否已啟用自動更新。執行最新版本的 Proton Pass 有助於您保持安全,免受零時差弱點的侵害
- 考慮停用手動自動填入並僅使用複製和貼上。Proton Pass 允許您使用兩次點擊來自動填入您的密碼,以便讓您有時間自行評估網站是否安全,但如果您更願意降低風險,您也可以選擇不使用自動填入。
Proton 已獲得 ISO 27001 認證,證明我們是一個透明且安全的組織。您儲存在保管庫中的所有內容都受到端對端加密的保護,以確保您的隱私得到維護,除了您之外沒有人可以存取您的資料。然而,我們總是建議保持謹慎,確保您建立強大、多樣化的密碼,並使用 hide-my-email 別名來保護自己免受網路釣魚和惡意軟體的侵害。
