Bezbjednosni propust, koji je nedavno demonstriran, predstavlja ozbiljan rizik za korisnike ekstenzija menadžera lozinki u veb pregledačima.
Na nedavnoj DEF CON konferenciji otkriven je ozbiljan bezbednosni propust u popularnim menadžerima lozinki.
Istraživač Marek Tot pokazao je da pomoću takozvanog clickjacking napada mogu da se ukradu podaci koje čuvaju ekstenzije za pregledače – uključujući lozinke, brojeve kartica, pa čak i kodove za dvofaktorsku autentifikaciju.
Napad funkcioniše tako što napadač postavlja nevidljivi sloj preko pravog elementa na veb stranici. Korisnik misli da klikće na bezopasno dugme, a zapravo aktivira skriveni meni menadžera lozinki i nesvesno otkriva svoje podatke.
Na listi ugroženih su gotovo svi poznati servisi: 1Password, LastPass, NordPass, Enpass i drugi. Neki proizvođači su već objavili zakrpe (Dashlane, Keeper, NordPass), dok kod drugih popravke još nisu dostupne.
Kako da se zaštitite
- Isključite automatsko popunjavanje lozinki dok ne dobijete ažuriranje.
- Koristite ručni unos (copy–paste) umesto automatskog.
- Na Chrome i sličnim pregledačima podesite da se ekstenzija aktivira samo kada vi kliknete na ikonicu.
Clickjacking napadi pokazuju koliko su ekstenzije za čuvanje lozinki ranjive kada se koriste u pregledaču. Dok proizvođači ne zakrpe bezbednosne rupe, korisnicima se savetuje dodatni oprez i što ređe korišćenje opcije automatskog popunjavanja.
B92.
