期間 DEF CON 33 揭示了一種新的攻擊方法 這使得 密碼管理員 作為瀏覽器插件整合。
該技術 影響這些流行的工具 例如 1Password、Bitwarden、LastPass、KeePassXC-Browser、NordPass、ProtonPass 或 Keeper,為憑證、個人資料、信用卡甚至雙重認證中使用的一次性密碼的洩漏打開了大門。
點擊劫持現在仍然是一個可利用的漏洞嗎?許多漏洞賞金計畫將此漏洞列在「超出範圍」部分,充其量也只是接受它,而不會給予獎勵。這是因為有許多保護措施可以顯著降低其影響。可以肯定地說,一個常見的網路點擊劫持漏洞已經被修復,而且很容易防禦。
我的研究結果是,點擊劫持仍然是一個安全威脅,但有必要從 Web 應用程式轉向如今更流行的瀏覽器擴充功能(密碼管理器、加密貨幣錢包等)。
針對密碼管理器的攻擊是如何進行的
問題 在於插件插入對話框的方式 直接進入被存取頁面的 DOM。這意味著,如果攻擊者設法將惡意 JavaScript 注入網站 (例如,利用 XSS 漏洞),您不僅可以操縱網站內容,還可以操縱密碼管理器本身添加的元素。
因此, 可以使確認框透明並用假確認框覆蓋它。 攻擊者創建的對話框。 用戶相信您接受 Cookie 通知、關閉廣告橫幅或完成驗證碼,你實際上是在批准自動完成你的憑證 密碼管理器。結果:資料被填入不可見的表單並傳送到攻擊者的伺服器。
範例和攻擊場景
Un 案例研究已透過 issuetracker.google.com 進行了演示, 存在 XSS 漏洞。 透過三次看似無害的點擊 在虛構的應用中, 研究人員設法獲得 不僅是 登錄憑證,而且 雙重身份驗證碼。
除了利用XSS漏洞外,該攻擊還可以擴展到允許創建子網域的服務。由於大多數密碼管理器都會在主網域的所有子網域上自動填入憑證,因此攻擊者可以利用此功能洩露資訊。
風險不僅限於密碼信用卡上儲存的個人和財務資料也容易被洩露。就信用卡而言,洩漏的資料包括卡號、有效期限和安全碼,這使得這種技術成為一種嚴重的威脅。
開發商的影響和反應
El 研究人員測試了 11 個瀏覽器插件,總安裝量達 39,7 萬次 積極的, 所有人都很脆弱一些供應商已經發布了補丁,試圖部分緩解攻擊,包括NordPass、ProtonPass、RoboForm、Dashlane、Keeper、Enpass和Bitwarden。然而,其他供應商,例如1Password、LastPass、iCloud Passwords和KeePassXC-Browser,尚未發布最終解決方案。
1Password 的立場尤其引人注目。: 該公司堅持認為 這個問題是結構性的,不能從補充方面完全解決據其開發人員稱,解決方案必須來自瀏覽器本身,或在自動填充任何資料之前實現明確的確認。事實上,在下一個版本中,他們將添加一個選項,用於顯示所有資料類型的確認請求,儘管預設不會啟用此功能。
防範攻擊的建議
其中 提出的技術解決方案包括在封閉模式下使用 Shadow DOM,使用 MutationObserver API 監控元素透明度,阻止層重疊,或使用 Popover API 安全地顯示對話方塊。
自己 研究作者建議,在瀏覽器層面,應該實作專用 API 來保護密碼管理器。 防範點擊劫持攻擊。同時,對於使用 Chromium 瀏覽器的使用者來說,最有效的措施是在插件設定中啟用按需存取網站模式。這將限制管理員僅在點擊網址列旁的圖示後才能存取該頁面。
或者, 建議停用自動完成功能 並手動複製憑證,儘管這可能會透過共享剪貼簿進一步洩露資訊。