На конференции DEF CON 33 представлен метод атаки на браузерные дополнения, подставляющие свои элементы интерфейса в просматриваемую страницу. Применение атаки к дополнениям с менеджерами паролей может привести к утечке хранимой в менеджерах паролей информации, такой как параметры аутентификации, параметры кредитных карт, персональные данные и одноразовые пароли для двухфакторной аутентификации. Проблема затрагивает все протестированные менеджеры паролей, включая 1Password, Bitwarden, LastPass, KeePassXC-Browser, NordPass, ProtonPass и Keeper...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63754
Автотайпинг паролей небезопасен, говорили мне. Хорошо, что под Вяленым Кипасс не умеет автотайпить. Пользуйся дополнением к браузеру, это безопасно! Ага...
Кипасс спрашивает разрешения на доступ для сайта. Разрешил для левака? ССЗБ. Новость ни о чем.
Ну то есть не безопасность, а "сам себе дурак". Не ограждения в сталелетейном заводе, а "подпиши документ, обязуйся ему следовать - там написано в чан не падать! Иначе сам себе дурак".
Запрос доступа - это и есть ограничения по твоей аналогии. Если ты за них перелез - то да, сам дурак.
Картинка то крутая.https://www.animenewsnetwork.com/thumbnails/crop600x315gHL/h...
> Хорошо, что под Вяленым Кипасс не умеет автотайпить.Ну дык, этож от вендузятников для вендузятников:
https://marektoth.com/images/protonui.png
https://marektoth.com/images/dombased-passkeys2.png
> Software: Greenshot [Greenshot is a light-weight screenshot software tool for Windows]
>
Если атакующий выполняет на странице свой код, проблемы у вас будут и без дополнений для автоввода пароля. Например, он может перенаправить получателя формы на себя, таким образом украв ваш пароль. А вам сымитировать ошибку.
На перенаправленной левой странице менеджер паролей вставку не предложит, а на изменённой через XSS реальной странице предложит.
Блин, если страницу кто-то изменил через XSS, то проблемы у вас _намного_ хуже, чем воровство паролей. Все ваши данные на сайте уже у злоумышленника.
И только из контекста блин понятно, что это затрагивает (в основном) хром\хромиум-браузеры. И на тестовой странице об этом явное предупреждение есть.А в заголовок вынести это уточнение было нельзя?
Метод работает и в Chrome и в Firefox. Про firefox отдельная ремарка, что в нём _нет_ опциональной защиты, которая есть в Chrome (Extension settings → site access → "on click").
Например, дополнение KeePassXC-Browser обращается к базе паролей через менеджер KeePassXC, который при обращении к каждому НОВОМУ ресурсу просит пользователя дать разрешение на использование паролей на КОНКРЕТНОМ веб-сайте. Т.е. даже если элементы/поля ввода данных скрыты и скрыты кнопки их отправки/ввода, как описано в статье, то пользователь увидит запрос от менеджера паролей, что не может не вызвать подозрений.
Ну и сам факт того, что для эксплуатации этой "уязвимости" нужен доступ на управление веб-ресурсом или его поддоменом, сводит на нет претензии к разработчикам менеджеров, которые правильно подметили, что проблема фундаментальная, а не в их продуктах.
Ну битварден, например, сливал данные банковской карты по любому клику на "капчу" на любом сайте. Так что там есть что править и в парольном менеджере
Т.е. если "битварден" оказался спайварем, то остальные тоже по умолчанию такие же? Если в Андроид есть ошибка или закладка, то она автоматом появляется в АйОС? И до куче в винде, линухе и т.п.?
ну то есть все аддоны подвержены, но keepassxc ты всё равно прорекламируешь, деньги-то уплочены
Какие деньги? Он бесплатный и ставится локально.
менетжер паролей pass безопасен !
если плюнуть на фундаментальные проблемы X cliboard, за попытку отрефакторить которые мне в панамку напихали.Package: pass
Version: 1.7.4-6
Priority: optional
Section: admin
Source: password-store
Maintainer: Colin Watson <cjwatson@debian.org>
Installed-Size: 131 kB
Depends: gnupg, tree
Recommends: git, qrencode, xclip, wl-clipboard
Suggests: libxml-simple-perl, perl, python, python3, ruby
Homepage: https://www.passwordstore.org/
Download-Size: 34.0 kB
APT-Sources: https://deb.debian.org/debian bookworm/main amd64 Packages
Description: lightweight directory-based password manager
Stores, retrieves, generates, and synchronizes passwords securely using gpg and git.
фундаментальные проблемы с иксами только у фанатиков вяленого, запускающих у себя варезный мусор вместо софта
поневоле задумаешься, а в иксах ли дело?
У фанатиков работодателей, ты хотел сказать? Далеко не весь софт в твоей системе ты поставил себе сам, а если и сам -- то далеко не факт, что ты сделал это добровольно. Работодатель может иметь свой проприетарный SDK в виде бинаря, который ты как миленький поставишь. Или такой сценарий: ты на рабочем созвоне (узнаешь, что это такое, когда закончишь школу), а потом работодатель такой: "блин, голосом не удобно, поставь расширение по коллективному редактированию файлов в vscode, вот ссылка" -- и тебе даже особо время не дается подумать, потому что созвон идет вот прямо щас, и все ждут только тебя. И когда у тебя вяленый, ты будешь уверен, что бинарь, идущий в составе расширения, не пойдет скриншотить что-либо. Welcome to the real world, jackass.
Работодатель на созвоне хакает линуксоидного РАБотника через дополнение к vscode. Вот это манямирок!
рабское мышление, не о чем разговаривать
У работодателей с проприетарным либами обязательно посещение офиса, если уж и дают работать из дома, то выдают преднастроенное железо с зондами, чтобы их проприетарные секретки не утекли куда не надо, и работники работу работали.
А раз на своё зонды ставишь, то Вейланд не поможет, программы все от одного пользователя работают, все хранилища паролей всем доступны.
> если уж и дают работать из дома, то выдают преднастроенное железо с зондамиНе говори за всех.
> Вейланд не поможет
Поможет, если используются линукс-неймспейсы. А теперь внимание: линукс-неймспейсы + иксы = клиенты все еще могут скриншотить и кейлоггерить. А вот линукс-неймспейсы + вяленый = тотальная изоляция. Чуешь разницу? Уже догадываешься, почему иксы выпинывают из всех популярных дистров, DE, тулкитов и так далее?
Так запускай несколько X-серверов на разных tty и не жалуйся.
Малварь может коннектиться к любому из твоих /tmp/.x11-unix, прикинь? Да и удобством тут не пахнет, если для изоляции надо запускать отдельный сервер на одно приложение. Спасибо, но в firejail с этим настрадались уже.
Нет буфера обмена - нет проблемы. И пользователь такой сидит как краб и таращит.
Всегда вручную копирую пароли.
Зловред:
- Всегда сижу и жду когда кто-нибудь скопирует пароль
Не доверяешь своему десктопу - изолируй в отдельный десктоп + отдельного юзера. Или сделай отдельный magick-cookie в иксах, чтобы заработало Xsecurity и недоверенные приложения не видели инпут и буферы обмена друг у друга.
Все переходим на passkey, нечему будет утекать
Detecting Compromise of Passkey Storage on the Cloudhttps://www.usenix.org/system/files/conference/usenixsecurit...
> браузерные дополнения подставляют диалог с запросом автоподстановки пароля непосредственно на отображаемую страницу, интегрируя свои элементы в DOM (Document Object Model) данной страницыОказывается, если пустить к себе домой постороннего человека для какой-то работы, он может получить доступ к вещам в доме. Вот сюрпрайз-то какой!
Никогда не пользовался именно браузерными хранилками паролей, потому что сама идея хранить пароли в приложении, через которое тебя в первую очередь будут ломать кажется тупой изначально.
Но если уж делать это в браузере, то это же очевидно что диалоги из таких дополнений должны быть вне пределов страницы. Например как у расширения для Яндекс Музыки. Встраивая что-то в страницу мы сразу даём возможность этим манипулировать изнутри страницы. Вроде бы это очевидно должно быть разрабам таких продуктов.К слову такая же уязвимость есть не только в расширениях, но и в самом Хроме. Если пароль для сайта был запомнен, то он автоматически вводится в форму. Осталось только считать из неё данные или отправить на свой сервер.
Во времена XUL таких проблем не было.
Да вы гляньте на видео! Там норм отрисовка шрифтов. Не ШГ! Как они этого добились? Там же Линукс!
> Да вы гляньте на видео! Там норм отрисовка шрифтов. Не ШГ! Как
> они этого добились? Там же Линукс!Ты видео точно глядел? Там "Windows NT 10.0"
Да я только первые секунды. Тьфу ты! Так и знал, что засада.
В Хроме на венде были самые паршивые шрифты. Да и в Еже старом тоже, новый патчат специальными патчами, чтобы было нормально, в отличие от Хрома. Вот интерфейсный Segoe выглядит идеально, в линуксе только растровые шрифты приближаются к такому уровню, а всё остальное вырвиглаз хуже линукса.
Почему при вставке пароля окно подтверждения не вызвать через window.open?
Хороший вопрос. Почему не делают это в отдельном окне, с возможностью ткнуть по "показать подробнее" с указанием на то, в какой элемент предлагается вставка?
> Применение атаки к дополнениям с менеджерами паролей может привести к утечке хранимой в менеджерах паролей информации, такой как параметры аутентификации, параметры кредитных карт, персональные данные и одноразовые пароли для двухфакторной аутентификации. Проблема затрагивает все протестированные менеджеры паролей, включая 1Password, Bitwarden, LastPass, KeePassXC-Browser, NordPass, ProtonPass и Keeper.Люди вообще обленились. Не хотят запоминать 2-3 пароля из 5 средней длины слов + знаки + цифры. В рецепте каких-нибудь блинчиков с начинкой слов и то больше!
Да и вообще, бумагу и карандаш вроде никто не отменял, всегда можно записать пароль на, так сказать, "физическом носителе". Уже сейчас многие просто забыли, как пишутся некоторые буквы, вангую, лет через пятьдесят, человеки вообще забудут, что такое письменность. Р.S. Сейчас в комментарии прибегут "мамкины безопасники" с криками "бумага, это небезопасно!!!".
> Да и вообще, бумагу и карандаш вроде никто не отменял, всегда можно записать пароль на, так сказать, "физическом носителе".Для одинокой станции на краю планеты вполне себе вариант.
> Уже сейчас многие просто забыли, как пишутся некоторые буквы, вангую, лет через пятьдесят, человеки вообще забудут, что такое письменность.
К счастью других. Рот еще научат держать закрытым и мир станет лучше. Пишущий дегенерат с грамотной речью становится общественной проблемой.
20-30... 100-200 паролей из.. Тролль!
> 20-30... 100-200 паролей из..Ты же сам такую работу выбрал, где иначе нельзя. Или она тебя. Наслаждайся.
> Тролль!
Ни в коем случае! Те у кого другая работа, обходятся всего несколькими паролями.
> Создание навязчивого элемента на странице, стимулирующего совершение клика.Ещё одна причина использовать блокировщики рекламы.
NoScript
Не зря я никогда не использовал эти интеграции в браузеры. Как в воду глядел.
Так и не понял в чём "уязвимость". Всё работает как надо - автоматическое подставление автоматически подставляет.
Суммаризирую.
Браузеры не делают API для управления секретами для того чтобы пользователь был прибит гвоздями к их инфраструктуре. Куча поделок все же пытаются что-то сделать на коленке и выходит с разной степенью юзабельности. При этом безопасность всего этого вперде.
