Under DEF CON 33 avslöjade en ny anfallsmetod som sätter säkerheten för lösenordshanterare integrerade som webbläsartillägg.
Tekniken, som påverkar sådana populära verktyg såsom 1Password, Bitwarden, LastPass, KeePassXC-Browser, NordPass, ProtonPass eller Keeper, öppnar dörren för läckage av inloggningsuppgifter, personuppgifter, kreditkort och till och med engångslösenord som används vid tvåfaktorsautentisering.
Är clickjacking fortfarande en sårbarhet som kan utnyttjas idag? Många bug bounty-program listar denna sårbarhet i avsnittet "utanför omfattningen" och accepterar den i bästa fall men belönar den inte. Detta beror på att det finns många skydd tillgängliga som avsevärt minskar dess inverkan. Man kan lugnt säga att en vanlig sårbarhet för webbklickjacking redan har åtgärdats och är lätt att försvara sig mot.
Resultatet av min forskning är att clickjacking fortfarande är ett säkerhetshot, men det är nödvändigt att gå från webbapplikationer till webbläsartillägg, som är mer populära idag (lösenordshanterare, kryptovalutaplånböcker och andra).
Så fungerar attacken mot lösenordshanterare
Problemet ligger i hur tillägg infogar sina dialogrutor direkt in i DOM:en för den besökta sidan. Det betyder att,Om en angripare lyckas injicera skadlig JavaScript på webbplatsen (till exempel genom att utnyttja en XSS-sårbarhet) kan du manipulera inte bara webbplatsens innehåll, utan även element som lagts till av lösenordshanteraren själv.
På detta sätt, Det är möjligt att göra bekräftelserutan transparent och lägga en falsk ruta över den. dialog skapad av angriparen. Användaren, tro att du accepterar ett cookiemeddelande, stäng en reklambanner eller fyll i en captcha, skulle du faktiskt godkänna automatisk ifyllning av dina inloggningsuppgifter av lösenordshanteraren. Resultatet: informationen fylls i osynligt och skickas till angriparens server.
Exempel och attackscenarier
Un Fallstudien demonstrerades med issuetracker.google.com, som hade en XSS-sårbarhet. Med tre till synes ofarliga klick i fiktiva tillämpningar, den Forskarna lyckades få fram inte bara inloggningsuppgifter, men också tvåfaktorsautentiseringskod.
Förutom att utnyttja XSS-sårbarheter kan attacken även omfatta tjänster som tillåter skapandet av underdomäner. Eftersom de flesta lösenordshanterare automatiskt fyller i inloggningsuppgifter på alla underdomäner i huvuddomänen, skulle en angripare kunna utnyttja denna funktion för att läcka information.
Risken är inte begränsad till lösenordPersonliga och finansiella uppgifter som lagras på kreditkort exponeras också. När det gäller kreditkort inkluderar intrånget nummer, utgångsdatum och säkerhetskod, vilket gör denna teknik till ett kritiskt hot.
Utvecklarnas inverkan och respons
El Forskare testade 11 webbläsartillägg med totalt 39,7 miljoner installationer aktiv, och alla var sårbaraVissa leverantörer har redan släppt patchar som försöker delvis mildra attacken, inklusive NordPass, ProtonPass, RoboForm, Dashlane, Keeper, Enpass och Bitwarden. Andra, som 1Password, LastPass, iCloud Passwords och KeePassXC-Browser, har dock ännu inte släppt några definitiva lösningar.
1Passwords hållning är särskilt slående.Företaget hävdar att Problemet är av strukturell natur och kan inte helt lösas utifrån komplementet.Enligt utvecklarna måste lösningen komma från själva webbläsaren, eller genom att implementera explicita bekräftelser innan någon data fylls i automatiskt. Faktum är att de i sin nästa version kommer att lägga till ett alternativ för att visa bekräftelseförfrågningar för alla datatyper, även om detta inte kommer att vara aktiverat som standard.
Förslag till skydd mot attacken
Bland de Föreslagna tekniska lösningar inkluderar användning av Shadow DOM i slutet läge, övervaka elementtransparens med hjälp av MutationObserver API, blockera lageröverlappningar eller använda Popover API för att visa dialogrutor på ett säkert sätt.
egen Studiens författare föreslår att ett dedikerat API bör implementeras på webbläsarnivå för att skydda lösenordshanterare. mot clickjacking-attacker. Under tiden är den mest effektiva åtgärden för användare av Chromium-baserade webbläsare att aktivera åtkomstläge för webbplatser på begäran i tilläggsinställningarna. Detta begränsar administratörens åtkomst till sidan endast efter att ha klickat på dess ikon bredvid adressfältet.
Alternativt Det rekommenderas att inaktivera automatisk komplettering och kopiera inloggningsuppgifterna manuellt, även om detta öppnar upp möjligheten för ytterligare läckor via det delade urklippet.
Fuente: https://marektoth.com