Alatt A DEF CON 33 új támadási módszert mutatott be ami biztonságot nyújt a jelszókezelők böngészőbővítményként integrálva.
A technika, amely hatással van az ilyen népszerű eszközökre Az olyan szoftverek, mint az 1Password, a Bitwarden, a LastPass, a KeePassXC-Browser, a NordPass, a ProtonPass vagy a Keeper, megnyitják az utat a hitelesítő adatok, személyes adatok, hitelkártyaadatok és még a kétfaktoros hitelesítés során használt egyszer használatos jelszavak kiszivárgásának.
A kattintáseltérítés még ma is kihasználható sebezhetőség? Sok hibajavító program a „hatókörön kívüli” részben sorolja fel ezt a sebezhetőséget, és legjobb esetben is elfogadja, de nem jutalmazza. Ez azért van, mert számos védelem áll rendelkezésre, amelyek jelentősen csökkentik a hatását. Biztonsággal kijelenthető, hogy egy gyakori webes kattintáseltérítési sebezhetőséget már kijavítottak, és könnyen védekezhető ellene.
Kutatásom eredménye az, hogy a kattintáseltérítés továbbra is biztonsági fenyegetést jelent, de a webes alkalmazásokról a ma népszerűbb böngészőbővítményekre (jelszókezelők, kriptovaluta-tárcák és mások) kell áttérni.
Hogyan működik a jelszókezelők elleni támadás?
A probléma abban rejlik, ahogyan a bővítmények beillesztik a párbeszédpaneleket közvetlenül a meglátogatott oldal DOM-jába. Ez azt jelenti, hogyHa egy támadónak sikerül rosszindulatú JavaScriptet beillesztenie az oldalra (például egy XSS sebezhetőség kihasználásával) nemcsak a webhely tartalmát manipulálhatja, hanem a jelszókezelő által hozzáadott elemeket is.
Így Lehetséges a megerősítő mezőt átlátszóvá tenni, és egy hamisítvánnyal lefedni. a támadó által létrehozott párbeszédpanel. A felhasználó, ha úgy gondolja, hogy elfogadja a süti értesítést, bezár egy hirdetési bannert vagy kitölt egy captcha-t, akkor valójában jóváhagynád a hitelesítő adataid automatikus kitöltését a jelszókezelő által. Az eredmény: az adatok egy láthatatlan űrlapon kitöltődnek és elküldésre kerülnek a támadó szerverére.
Példák és támadási forgatókönyvek
Un az esettanulmányt az issuetracker.google.com segítségével mutatták be, amely XSS sebezhetőséget tartalmazott. Három látszólag ártalmatlan kattintással fiktív kérelmekben a A kutatóknak sikerült megszerezniük nemcsak a bejelentkezési adatok, hanem a kétfaktoros hitelesítési kód.
Az XSS sebezhetőségeinek kihasználása mellett a támadás kiterjedhet olyan szolgáltatásokra is, amelyek lehetővé teszik aldomének létrehozását. Mivel a legtöbb jelszókezelő automatikusan kitölti a hitelesítő adatokat a fődomén összes aldoménjén, a támadó kihasználhatja ezt a funkciót információk kiszivárogtatására.
A kockázat nem korlátozódik a jelszavakraA hitelkártyákon tárolt személyes és pénzügyi adatok is kiszivároghatnak. Hitelkártyák esetében a behatolás magában foglalja a számot, a lejárati dátumot és a biztonsági kódot is, így ez a technika kritikus fenyegetést jelent.
A fejlesztők hatása és reakciója
El A kutató 11 böngészőbővítményt tesztelt, összesen 39,7 millió telepítéssel. aktív, és mindannyian sebezhetőek voltakNéhány gyártó, mint például a NordPass, a ProtonPass, a RoboForm, a Dashlane, a Keeper, az Enpass és a Bitwarden, már kiadott javításokat, amelyek megpróbálják részlegesen enyhíteni a támadást. Mások, mint például az 1Password, a LastPass, az iCloud Passwords és a KeePassXC-Browser, azonban még nem adtak ki végleges megoldásokat.
Az 1Password álláspontja különösen feltűnő.A cég azt állítja, hogy A probléma strukturális jellegű, és nem oldható meg teljesen a kiegészítő jellegű megoldásokból.A fejlesztők szerint a megoldásnak magából a böngészőből kell származnia, vagy explicit megerősítések implementálásával az adatok automatikus kitöltése előtt. Valójában a következő verzióban hozzáadnak egy opciót, amely minden adattípushoz megjeleníti a megerősítési kéréseket, bár ez alapértelmezés szerint nem lesz engedélyezve.
Javaslatok a támadás elleni védekezésre
között a A javasolt technikai megoldások közé tartozik a Shadow DOM használata zárt módban., az elemek átlátszóságának monitorozása a MutationObserver API használatával, rétegátfedések blokkolása, vagy a Popover API használata a párbeszédablakok biztonságos megjelenítéséhez.
saját A tanulmány szerzője azt javasolja, hogy böngésző szinten egy dedikált API-t kellene bevezetni a jelszókezelők védelme érdekében. a kattintáseltérítéses támadások ellen. Időközben a Chromium-alapú böngészők felhasználói számára a leghatékonyabb intézkedés az igény szerinti webhelyhozzáférési mód engedélyezése a bővítmény beállításaiban. Ez korlátozza az adminisztrátor hozzáférését az oldalhoz, csak azután, hogy rákattintott az ikonjára a címsor mellett.
Alternatív megoldásként Ajánlott letiltani az automatikus kiegészítést és manuálisan másolja a hitelesítő adatokat, bár ez további szivárgások lehetőségét nyitja meg a megosztott vágólapon keresztül.
forrás: https://marektoth.com