По време на DEF CON 33 разкри нов метод за атака това поставя безопасността на мениджъри на пароли интегрирани като добавки към браузъра.
Техниката, която засяга такива популярни инструменти като 1Password, Bitwarden, LastPass, KeePassXC-Browser, NordPass, ProtonPass или Keeper, отваря вратата за изтичане на идентификационни данни, лични данни, кредитни карти и дори еднократни пароли, използвани при двуфакторно удостоверяване.
Все още ли е експлоатируема уязвимост кликджекингът? Много програми за откриване на грешки изброяват тази уязвимост в секцията „извън обхвата“ и в най-добрия случай я приемат, но не я възнаграждават. Това е така, защото има множество защити, които значително намаляват нейното въздействие. Може спокойно да се каже, че често срещана уеб уязвимост, свързана с кликджекинг, вече е поправена и е лесно да се защитим срещу нея.
Резултатът от моето проучване е, че кликджекингът остава заплаха за сигурността, но е необходимо да се премине от уеб приложения към разширения за браузър, които са по-популярни днес (мениджъри на пароли, портфейли с криптовалути и други).
Как работи атаката срещу мениджърите на пароли
Проблемът се крие в начина, по който добавките вмъкват диалоговите си прозорци директно в DOM-а на посетената страница. Това означава, чеАко хакер успее да инжектира злонамерен JavaScript в сайта (например, чрез използване на XSS уязвимост), можете да манипулирате не само съдържанието на сайта, но и елементите, добавени от самия мениджър на пароли.
По този начин, Възможно е полето за потвърждение да се направи прозрачно и да се покрие с фалшиво. диалогов прозорец, създаден от нападателя. Потребителя, вярвайки, че приемате известие за бисквитки, затваряте рекламен банер или изпълнявате капча, всъщност ще одобрявате автоматичното попълване на вашите идентификационни данни от мениджъра на пароли. Резултатът: данните се попълват в невидим формуляр и се изпращат до сървъра на нападателя.
Примери и сценарии за атака
Un казусът беше демонстриран с issuetracker.google.com, който имаше XSS уязвимост. С три на пръв поглед безобидни кликвания във фиктивни заявления, Изследователите успяха да получат не само на идентификационни данни за вход, но също така код за двуфакторно удостоверяване.
В допълнение към използването на XSS уязвимости, атаката може да се разпростре и върху услуги, които позволяват създаването на поддомейни. Тъй като повечето мениджъри на пароли автоматично попълват идентификационните данни на всички поддомейни на основния домейн, атакуващият може да използва тази функция за изтичане на информация.
Рискът не се ограничава само до паролиЛичните и финансови данни, съхранявани в кредитни карти, също са изложени на риск. В случая с кредитните карти, нарушението включва номера, датата на валидност и кода за сигурност, което прави тази техника критична заплаха.
Въздействие и реакция на разработчиците
El Изследовател е тествал 11 добавки за браузър с общо 39,7 милиона инсталации. активен, и всички бяха уязвимиНякои доставчици вече са пуснали корекции, които се опитват частично да смекчат атаката, включително NordPass, ProtonPass, RoboForm, Dashlane, Keeper, Enpass и Bitwarden. Други, като 1Password, LastPass, iCloud Passwords и KeePassXC-Browser, обаче все още не са пуснали окончателни решения.
Позицията на 1Password е особено поразителна.Компанията твърди, че Проблемът е от структурен характер и не може да бъде напълно решен от комплемента.Според разработчиците, решението трябва да дойде от самия браузър или чрез внедряване на изрични потвърждения преди автоматично попълване на каквито и да е данни. Всъщност, в следващата си версия те ще добавят опция за показване на заявки за потвърждение за всички типове данни, въпреки че това няма да бъде активирано по подразбиране.
Предложения за защита срещу атаката
Сред Предложените технически решения включват използването на Shadow DOM в затворен режим., наблюдение на прозрачността на елементите с помощта на MutationObserver API, блокиране на припокривания на слоеве или използване на Popover API за безопасно показване на диалози.
Самият Авторът на изследването предлага на ниво браузър да се внедри специален API за защита на мениджърите на пароли. срещу атаки с кликджекинг. Междувременно, най-ефективната мярка за потребителите на браузъри, базирани на Chromium, е да активират режим за достъп до сайта при поискване в настройките на добавката. Това ограничава достъпа на администратора до страницата само след щракване върху иконата ѝ до адресната лента.
Като алтернатива, Препоръчително е да деактивирате автоматичното довършване и копирайте идентификационните данни ръчно, въпреки че това отваря възможност за по-нататъшни изтичания чрез споделения клипборд.
Fuente: https://marektoth.com