Parola yöneticileri aslında birçok farklı şifrenin yönetimini basitleştirmelidir. Bunu yapmak için genellikle form alanlarını otomatik olarak erişim verileriyle doldurabilen tarayıcı uzantıları getirirler. Bir BT araştırmacısı, çeşitli şifre yöneticilerinin tarayıcı uzantılarında, malign web sitelerinin bir tıklama saldırısı ile erişim verilerini telafi edebileceği zayıf bir nokta keşfetti.
Tıklama saldırıları aslında iyi bilinmektedir. Örneğin, saldırganlar ziyaretçilerin diyalogların ve tıklamalarının önüne görünmez öğeleri iter ve daha sonra istenen alanda değil, görünmez öğeye iner. Yeni olan, Marek Toth'un Defcon 33'te sunduğu tarayıcı uzantılarına katedrale dayanan saldırıdır.
Toth, temel saldırıyı aşağıdaki gibi tanımlar. Her şeyden önce, kötü huylu bir web sitesi, çerezler, bir captcha veya benzeri bir afiş gibi sayfaya erişimi reddeden bir öğeye sahip olmalıdır. Web sitesinin kendisi, örneğin Access gibi kişisel veriler için bir forma ihtiyaç duyar. Form için, saldırganlar 0.001'e opaklık opaklığı (opaklık) belirledi, bu da onu görünmez hale getirdi. İşlevle focus() Resmi anket artık etkinleştirildi, ardından Parola Yöneticisinin derlemesi için düşme menüsü görüntüleniyor. Yeni olan, şimdi Nesne Belgesi (DOM) modeli aracılığıyla sunulan saldırı ile tarayıcı genişlemesinin kullanıcı arayüzü, opaklığı azaltarak görünmez hale getirilebilir, tarayıcı uzantısında tıklama tıklama: Muhtemelen kurabiye banner'ı veya captcha'yı tıklatır ve görünmez tarayıcının genişlemesine girer. Bu, formun alanlarını derler, saldırganlar formdaki öğelere ulaşır.
Hassas şifre yönetimi
Toth aşağıdaki şifre yöneticilerini inceledi: 1Password, Betwarden, Daslane, Enpass, ICloud şifresini tarayıcı, velayet, yük, logMence, North Pass, Proton Pass ve Robofoform. Testlerde Toth, şifre yöneticisi uzantıları aracılığıyla manuel derleme modüllerini belirler.
Çoğu şifre yöneticisinde, saldırganlar alanın kredi kartı verileri veya isim, telefon numarası, adres vb. Gibi kişisel veriler gibi özel olmayan bilgileri Viking web sitelerinde okuyabilir.
Parola yöneticileri genellikle Domine için özel olmayan verilerin tedarikine duyarlıdır.
(Resim: Marek Toth)
Erişim verileri ve hatta iki faktör elde etmek için, saldırganlar çapraz script zayıflıkları olan bir web sitesi bulmalı, denizaltılara ulaşmalı, web önbelleğine veya benzerlerine ulaşmalı ve şifre yöneticilerini, genellikle parola yöneticileri için varsayılan ayarları, Toth'un tartışmasını dikkate almayacak şekilde yapılandırmalıdır. Örneğin, “test.dev.sandbox.cloud.google.com” daki “hesaplar.google.com” adresine ulaşmak için yeterli olduğunu söylüyor. Toth ayrıca, Passkey'in tıklama saldırısı ile de kullanılabileceği başka bir saldırıyı da açıklıyor ve saldırganlardan yeni oturumlar açılabilir.
Bu haftanın Salı gününe kadar Daslane, Keeper, North Pass, Proton Pass ve Roboform zayıflıklar belirledi. LastPass, alanlar için özel olmayan bilgilerin yayılmasını zaten içermiştir. Bu arada Betwarden, 2025.8.0 sürümü için de mevcuttur. “Yardım” – “Güncellemeleri Bul …” adresine tıklayın. Tarayıcı mağazalarında, güncellenen genişleme biraz sonra gelir çünkü orada bir revizyon sürecinden geçmelidir.
Toth, kullanıcıları koruması gereken bazı önerileri arar. Bu, otomatik güncellemenin etkinleştirilmesini ve şifre yöneticisinin en son sürümünün garantisini içerir. Ancak, tüm üreticiler güncellemeler sunmaz. Otomatik derlemenin devre dışı bırakılması soruna yardımcı olur, ancak bu nedenle kullanıcılar kullanıcıların ve şifrelerin adlarını manuel olarak kopyalamalıdır. “URL'nin kesin anlaşması” da yararlıdır. Krom tabanlı tarayıcılarda, tıklarken “yalnızca” tüm web sitelerinde “yalnızca” yerine tarayıcı uzantıları ayarlarına erişim vermek de mümkündür. Yalnızca adres çubuğunun sağındaki uzantı simgesine tıkladıktan sonra bir uzantı kullanılabilir.
Araştırmacılar zaman zaman şifre yöneticilerinde bazı zayıflıklar buldukları. Geçen Ekim ayında, Federal Bilgi Teknolojisi Ofisi (BSI), Vaulttarden ve Keepass'taki kodun bir analizini gerçekleştirmiş ve bazı güvenlik kayıpları ile karşılaşmıştı.
(DMK)
Bir yanıt yazın