Em resumo, o aplicativo de navegador Proton Pass não é mais vulnerável aos ataques de clickjacking relatados. Fomos alertados sobre essa vulnerabilidade por um relatório do pesquisador de segurança cibernética Marek Tóth apresentado na DEF CON 33.

Tóth fez uma apresentação sobre um novo tipo de ataque de clickjacking que ele havia descoberto. Ele explicou como o ataque funcionava e como os dados em seu aplicativo de navegador gerenciador de senhas poderiam estar vulneráveis a ele. O Proton Pass foi um dos exemplos usados em sua apresentação e Tóth realizou com sucesso um ataque de clickjacking em seu próprio aplicativo de navegador. Resolvemos essa vulnerabilidade com o lançamento da versão 1.31.6 do Proton Pass e recomendamos fortemente a atualização do seu aplicativo web do Proton Pass, caso ainda não tenha feito.

O que é um ataque de clickjacking?

Conforme definido pelo Open Worldwide Application Security Project (OWASP), um ataque de clickjacking(nova janela) pode ser definido como o seguinte:

“Clickjacking, também conhecido como um “ataque de reparação de interface do usuário”, é quando um invasor usa várias camadas transparentes ou opacas para enganar um usuário para clicar em um botão ou link em outra página quando ele pretendia clicar na página de nível superior. Assim, o invasor está “sequestrando” cliques destinados à sua página e roteando-os para outra página, provavelmente de propriedade de outro aplicativo, domínio ou ambos.”

Em seu relatório, Tóth identificou que “muitos programas de recompensas por erros têm essa vulnerabilidade listada na seção “fora do escopo” e, nos melhores casos, eles a aceitam, mas não a recompensam”. Ameaças de clickjacking não são consideradas uma ameaça para a maioria das empresas hoje em dia porque as proteções contra elas são comuns.

No entanto, Tóth conseguiu desenvolver uma nova técnica de ataque de clickjacking com várias variantes de ataque. Ele descreve o processo como a criação de “um script malicioso que manipula elementos da interface do usuário que extensões de navegador injetam no DOM, tornando-os invisíveis usando JavaScript”. Ele então testou esse novo tipo de ataque em 11 gerenciadores de senhas que podem ser usados como extensões de navegador, incluindo o Proton Pass. Todos os 11 gerenciadores de senhas foram considerados vulneráveis ao ataque de clickjacking de extensão baseado em DOM de Tóth.

Você pode encontrar os detalhes de como Tóth realizou seus testes no relatório completo(nova janela).

O Proton Pass é seguro de usar?

Na versão 1.31.6 do aplicativo Proton Pass, lançamos uma correção para evitar que esse ataque seja eficaz. Os elementos de extensão e sobreposição relevantes foram corrigidos, e também adicionamos Tóth à nossa lista de Colaboradores de Segurança por suas contribuições para nossa pesquisa de segurança.

Convidamos especialistas em segurança a testar todos os nossos aplicativos Proton por meio de nosso programa de recompensas por erros, e empresas de segurança cibernética terceirizadas realizam auditorias de nosso código regularmente para garantir que todas as alegações que fazemos sobre nossos produtos sejam verdadeiras.

O que devo fazer para me proteger?

Em seu relatório, Tóth faz recomendações sobre ações que você pode tomar para se proteger contra ataques de clickjacking, bem como outros tipos de ataques cibernéticos. Também recomendamos tomar as seguintes ações:

  • Verifique se você tem as atualizações automáticas ativadas. Executar a versão mais recente do Proton Pass ajuda você a se manter seguro contra vulnerabilidades de dia zero
  • Considere desativar o preenchimento automático manual e usar apenas copiar e colar. O Proton Pass permite que você preencha automaticamente suas senhas usando dois cliques para dar tempo de avaliar se um site é seguro para você, mas você também pode optar por não usar o preenchimento automático se preferir reduzir o risco.

O Proton recebeu uma certificação ISO 27001 para provar que somos uma organização transparente e segura. Tudo o que você armazena em seus cofres é protegido por criptografia de ponta a ponta para garantir que sua privacidade seja mantida e ninguém além de você possa acessar seus dados. No entanto, sempre recomendamos ser cauteloso e garantir que você esteja criando senhas fortes e variadas e se protegendo contra phishing e malware com aliases hide-my-email.