Во время DEF CON 33 раскрыл новый метод атаки что ставит безопасность менеджеры паролей интегрированы как дополнения к браузеру.
Техника, которая влияет на такие популярные инструменты Такие как 1Password, Bitwarden, LastPass, KeePassXC-Browser, NordPass, ProtonPass или Keeper, открывают возможность утечки учетных данных, персональных данных, кредитных карт и даже одноразовых паролей, используемых при двухфакторной аутентификации.
Является ли кликджекинг всё ещё уязвимостью, которую можно эксплуатировать сегодня? Многие программы вознаграждения за найденные ошибки указывают эту уязвимость в разделе «вне сферы действия» и, в лучшем случае, принимают её, но не вознаграждают за её устранение. Это связано с тем, что существует множество средств защиты, значительно снижающих её последствия. Можно с уверенностью сказать, что распространённая уязвимость кликджекинга в интернете уже устранена, и от неё легко защититься.
Результатом моего исследования является то, что кликджекинг остается угрозой безопасности, но необходимо переходить от веб-приложений к расширениям для браузеров, которые сегодня более популярны (менеджеры паролей, криптовалютные кошельки и другие).
Как работает атака на менеджеры паролей
Проблема заключается в том, как надстройки вставляют свои диалоговые окна непосредственно в DOM посещаемой страницы. Это означает, чтоЕсли злоумышленнику удастся внедрить вредоносный JavaScript на сайт (например, эксплуатируя XSS-уязвимость), вы можете манипулировать не только содержимым сайта, но и элементами, добавляемыми самим менеджером паролей.
Таким образом, Можно сделать окно подтверждения прозрачным и наложить поверх него поддельное. диалог, созданный злоумышленником. Пользователь, полагая, что вы принимаете уведомление об использовании cookie-файлов, закрываете рекламный баннер или заполняете капчу, вы фактически одобрите автоматическое заполнение ваших учетных данных Менеджером паролей. Результат: данные заполняются в невидимой форме и отправляются на сервер злоумышленника.
Примеры и сценарии атак
Un Пример исследования был продемонстрирован на примере issuetracker.google.com, в котором была обнаружена XSS-уязвимость. Тремя, казалось бы, безобидными щелчками в фиктивных приложениях, Исследователям удалось получить не только учетные данные для входа, но и двухфакторный код аутентификации.
Помимо эксплуатации XSS-уязвимостей, атака может распространяться на сервисы, позволяющие создавать поддомены. Поскольку большинство менеджеров паролей автоматически заполняют учётные данные на всех поддоменах основного домена, злоумышленник может воспользоваться этой возможностью для утечки информации.
Риск не ограничивается паролямиТакже раскрываются персональные и финансовые данные, хранящиеся на кредитных картах. В случае с кредитными картами утечка включает номер, срок действия и код безопасности, что делает этот метод критической угрозой.
Влияние и реакция разработчиков
El Исследователь протестировал 11 дополнений для браузера, общее число установок которых составило 39,7 млн. активный, и все были уязвимыНекоторые поставщики уже выпустили исправления, частично защищающие от атаки, включая NordPass, ProtonPass, RoboForm, Dashlane, Keeper, Enpass и Bitwarden. Однако другие, такие как 1Password, LastPass, iCloud Passwords и KeePassXC-Browser, пока не выпустили окончательных решений.
Позиция 1Password особенно поразительна.: Компания утверждает, что Проблема имеет структурный характер и не может быть полностью решена с помощью дополнения.По словам разработчиков, решение должно исходить из самого браузера или путём реализации явных подтверждений перед автозаполнением любых данных. Более того, в следующей версии они добавят возможность отображать запросы на подтверждение для всех типов данных, хотя по умолчанию эта возможность не будет включена.
Предложения по защите от нападения
Среди Предлагаемые технические решения включают использование Shadow DOM в закрытом режиме., мониторинг прозрачности элементов с помощью API MutationObserver, блокировка перекрытия слоев или использование API Popover для безопасного отображения диалоговых окон.
Собственный Автор исследования предлагает реализовать на уровне браузера специальный API для защиты менеджеров паролей. Для защиты от атак типа «кликджекинг». В настоящее время наиболее эффективной мерой для пользователей браузеров на базе Chromium является включение режима доступа к сайту по запросу в настройках дополнения. Это ограничивает доступ администратора к странице только после нажатия на её значок рядом с адресной строкой.
В качестве альтернативы, Рекомендуется отключить автоматическое автодополнение. и скопировать учетные данные вручную, хотя это открывает возможность дальнейших утечек через общий буфер обмена.
источник: https://marektoth.com