Νέα ανησυχία προκαλείται για την ασφάλεια εκατομμυρίων χρηστών, καθώς γνωστοί διαχειριστές κωδικών φαίνεται να παρουσιάζουν σοβαρές ευπάθειες στις επεκτάσεις τους για browser.
Η αποκάλυψη έγινε στο DEF CON 33, από τον ερευνητή Marek Toth, ο οποίος παρουσίασε πώς οι επεκτάσεις αυτών των εργαλείων μπορούν να γίνουν στόχος μιας “αόρατης” επίθεσης τύπου clickjacking.
Σύμφωνα με τη μελέτη του, οι υπηρεσίες 1Password, Bitwarden, Enpass, iCloud Passwords, LastPass και LogMeOnce περιέχουν αδυναμίες που, αν αξιοποιηθούν από επιτιθέμενους, μπορούν να οδηγήσουν σε υποκλοπή στοιχείων, χωρίς καν ο χρήστης να καταλάβει τι συνέβη.
Στο clickjacking ο χρήστης νομίζει ότι κάνει κλικ σε κάτι ασφαλές, ενώ στην πραγματικότητα ενεργοποιεί “κρυφά” στοιχεία που έχει τοποθετήσει ο χάκερ.
Ο Toth ενημέρωσε τις εμπλεκόμενες εταιρείες ήδη από τον Απρίλιο, όμως οι ευπάθειες παραμένουν ενεργές μέχρι και σήμερα. Την εγκυρότητα των ευρημάτων επιβεβαίωσε και η εταιρεία ασφαλείας Socket, η οποία πλέον συνεργάζεται με τους κατασκευαστές για να αποδοθούν οι απαραίτητοι CVE κωδικοί.
Προς το παρόν, καμία από τις επεκτάσεις δεν έχει λάβει επίσημο patch ακόμη και έτσι, η χρήση τους απαιτεί ιδιαίτερη προσοχή, ειδικά σε ιστοσελίδες που δεν θεωρούνται αξιόπιστες.
Πηγή: unboxholics.com