Kurz gesagt: Die Proton Pass Browser-App ist nicht mehr anfällig für gemeldete Clickjacking-Angriffe. Wir wurden durch einen Bericht des Cybersicherheitsforschers Marek Tóth auf der DEF CON 33 auf diese Schwachstelle aufmerksam gemacht.

Tóth hielt eine Präsentation über eine neue Art von Clickjacking-Angriff, die er entdeckt hatte. Er erklärte, wie der Angriff funktionierte und wie die Daten in deiner Passwort-Manager-Browser-App dafür anfällig sein könnten. Proton Pass war eines der Beispiele, die in seiner Präsentation verwendet wurden, und Tóth führte erfolgreich einen Clickjacking-Angriff auf seine eigene Browser-App durch. Wir haben diese Schwachstelle mit dem Rollout der Version 1.31.6 von Proton Pass behoben und empfehlen dringend, deine Proton Pass Web-App zu aktualisieren, falls du dies noch nicht getan hast.

Was ist ein Clickjacking-Angriff?

Wie vom Open Worldwide Application Security Project (OWASP) definiert, kann ein Clickjacking-Angriff(neues Fenster) wie folgt definiert werden:

„Clickjacking, auch bekannt als „UI-Redress-Angriff“, ist, wenn ein Angreifer mehrere transparente oder undurchsichtige Ebenen verwendet, um einen Benutzer dazu zu bringen, auf einen Button oder Link auf einer anderen Seite zu klicken, wenn er beabsichtigte, auf die oberste Seite zu klicken. Somit „kapert“ der Angreifer Klicks, die für seine Seite bestimmt waren, und leitet sie auf eine andere Seite weiter, die höchstwahrscheinlich einer anderen Anwendung, Domain oder beiden gehört.“

In seinem Bericht stellte Tóth fest, dass „viele Bug-Bounty-Programme diese Schwachstelle im Abschnitt „außerhalb des Geltungsbereichs“ aufgeführt haben, und in besseren Fällen akzeptieren sie sie, belohnen sie aber nicht.“ Clickjacking-Bedrohungen werden heutzutage für die meisten Unternehmen nicht als Bedrohung angesehen, da Schutzmaßnahmen dagegen üblich sind.

Tóth war jedoch in der Lage, eine neue Clickjacking-Angriffstechnik mit mehreren Angriffsvarianten zu entwickeln. Er beschreibt den Prozess als Erstellung „eines bösartigen Skripts, das UI-Elemente manipuliert, die Browser-Erweiterungen in das DOM injizieren, indem es sie mittels JavaScript unsichtbar macht.“ Er testete diesen neuen Angriffstyp dann an 11 Passwort-Managern, die als Browser-Erweiterungen verwendet werden können, einschließlich Proton Pass. Alle 11 Passwort-Manager erwiesen sich als anfällig für Tóths DOM-basierten Erweiterungs-Clickjacking-Angriff.

Du kannst die Details darüber, wie Tóth seine Tests durchführte, im vollständigen Bericht(neues Fenster) herausfinden.

Ist Proton Pass sicher zu verwenden?

In Version 1.31.6 der Proton Pass-App haben wir einen Fix veröffentlicht, um zu verhindern, dass dieser Angriff effektiv ist. Die relevanten Erweiterungselemente und das Overlay wurden adressiert, und wir haben Tóth auch zu unserer Liste der Sicherheits-Mitwirkenden für seine Beiträge zu unserer Sicherheitsforschung hinzugefügt.

Wir laden Sicherheitsexperten ein, alle unsere Proton-Apps über unser Bug-Bounty-Programm zu testen, und Cybersicherheitsfirmen von Drittanbietern führen regelmäßig Audits unseres Codes durch, um sicherzustellen, dass alle Behauptungen, die wir über unsere Produkte aufstellen, wahr sind.

Was sollte ich tun, um mich zu schützen?

In seinem Bericht gibt Tóth Empfehlungen zu Maßnahmen, die du ergreifen kannst, um dich vor Clickjacking-Angriffen sowie anderen Arten von Cyberangriffen zu schützen. Wir empfehlen außerdem, folgende Maßnahmen zu ergreifen:

  • Überprüfe, ob du automatische Updates aktiviert hast. Die Ausführung der neuesten Version von Proton Pass hilft dir, sicher vor Zero-Day-Schwachstellen zu bleiben
  • Erwäge, das manuelle automatische Ausfüllen zu deaktivieren und nur Kopieren und Einfügen zu verwenden. Proton Pass ermöglicht es dir, deine Passwörter mit zwei Klicks automatisch auszufüllen, um dir Zeit zu geben, zu beurteilen, ob eine Website für dich sicher ist, aber du kannst dich auch entscheiden, das automatische Ausfüllen nicht zu verwenden, wenn du das Risiko lieber reduzieren möchtest.

Proton hat eine ISO 27001-Zertifizierung erhalten, um zu beweisen, dass wir eine transparente und sichere Organisation sind. Alles, was du in deinen Tresoren speicherst, ist durch Ende-zu-Ende-Verschlüsselung geschützt, um sicherzustellen, dass deine Privatsphäre gewahrt bleibt und niemand außer dir auf deine Daten zugreifen kann. Wir empfehlen jedoch immer, vorsichtig zu sein und sicherzustellen, dass du starke, abwechslungsreiche Passwörter erstellst und dich mit Hide-my-email-Aliase vor Phishing und Malware schützt.