Οι 6 μεγαλύτερες εφαρμογές διαχείρισης κωδικών, με δεκάδες εκατομμύρια χρήστες, είναι τρομερά ευάλωτοι σε επιθέσεις chickjacking, κάτι που επιτρέπει σε hackers να κλέψουν διαπιστευτήρια λογαριασμού, κωδικούς 2FA και στοιχεία πιστωτικών καρτών.
Οι απειλητικοί παράγοντες θα μπορούσαν να εκμεταλλευτούν τα ζητήματα ασφαλείας όταν τα θύματα επισκέπτονται μια κακόβουλη σελίδα ή ιστότοπους που είναι ευάλωτοι σε cross-site scripting (XSS) ή cache poisoning, όπου οι εισβολείς επικαλύπτουν αόρατα στοιχεία HTML πάνω από τη διεπαφή του διαχειριστή κωδικών πρόσβασης.
Οι χρήστες πιστεύουν πως αλληλεπιδρούν με εντελώς ακίνδυνα στοιχεία μιας σελίδας στα οποία μπορούν να κα κάνουν click, ενεργοποιώντας ενέργειες αυτόματης συμπλήρωσης που διαρρέουν ευαίσθητες πληροφορίες.
Τα ελαττώματα παρουσιάστηκαν κατά τη διάρκεια του πρόσφατου συνεδρίου hacker DEF CON 33 από τον ανεξάρτητο ερευνητή Marek Tóth. Ερευνητές της εταιρείας κυβερνοασφάλειας Socket αργότερα επαλήθευσαν τα ευρήματα και βοήθησαν στην ενημέρωση των προμηθευτών που επηρεάστηκαν και στον συντονισμό της δημόσιας αποκάλυψης.
Ο ερευνητής δοκίμασε την επίθεσή του σε ορισμένες εκδόσεις των 1Password, Bitwarden, Enpass, iCloud Passwords, LastPass και LogMeOnce και διαπίστωσε ότι όλες οι παραλλαγές τους που βασίζονται σε προγράμματα περιήγησης θα μπορούσαν να διαρρεύσουν ευαίσθητες πληροφορίες υπό ορισμένες συνθήκες.
Ο Toth έχει ενημερώσει τις εμπλεκόμενες εταιρείες από τον Απρίλιο, όμως ακόμα και σήμερα οι περισσότεροι δεν έχουν κάνει απολύτως τίποτα για να διαρθρώσουν τα κενά ασφαλαείας, που παραμένουν ενεργά μέχρι και σήμερα. Ο Toth με την Socket προσπαθούν σε συνεργασία με τους κατασκευαστές, να δημιουργήσουν τα απαραίτητα CVE, για να ξεκινήσει η επίλυση των προβλημάτων από τις εταιρείες και την κοινότητα.
Τι βρίσκεται τελικά στις συντεταγμένες 0,0 στη Γη;
Αυτήν τη στιγμή, οι ακόλουθοι διαχειριστές κωδικών πρόσβασης, οι οποίοι συνολικά έχουν περίπου 40 εκατομμύρια χρήστες, είναι ευάλωτοι στις μεθόδους επίθεσης του Tóth:
- 1Κωδικός πρόσβασης 8.11.4.27
- Bitwarden 2025.7.0
- Enpass 6.11.6 (μερική διόρθωση που εφαρμόστηκε στο 6.11.4.2)
- Κωδικοί πρόσβασης iCloud 3.1.25
- LastPass 4.146.3
- LogMeOnce 7.12.4
Οι εφαρμογές διαχείρισης κωδικών που υλοποίησαν τις διορθώσεις είναι οι Dashlane (έκδοση v6.2531.1 που κυκλοφόρησε την 1η Αυγούστου), NordPass, ProtonPass, RoboForm και Keeper (έκδοση v17.2.0 που κυκλοφόρησε τον Ιούλιο). Ωστόσο, οι χρήστες θα πρέπει να βεβαιωθούν ότι χρησιμοποιούν τις πιο πρόσφατες διαθέσιμες εκδόσεις των προϊόντων.
Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.
