Alcuni noti password manager sono vulnerabili ad attacchi di clickjacking: a rischio i dati degli utenti

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/sicure...ti_142411.html

Secondo una ricerca, diversi noti password manager sono vulnerabili ad attacchi di clickjacking che potrebbero esporre i dati degli utenti: la falla riguarda, in particolare, le estensioni per browser dei gestori di password

Click sul link per visualizzare la notizia.

[alexfri]

Quando tutti scrivevano la combinazione dell'armadietto, della cassaforte ecc, sui taccuini, tu scrivila sui primissimi computer, quando tutti cercano le password dentro i vostri computer.. scrivetele su un taccuino di carta...offline.

[marcram]

Quote:

Originariamente inviato da alexfri

Quando tutti scrivevano la combinazione dell'armadietto, della cassaforte ecc, sui taccuini, tu scrivila sui primissimi computer, quando tutti cercano le password dentro i vostri computer.. scrivetele su un taccuino di carta...offline.

Quando hai 50 password di 20-30 caratteri e simboli (a volte da cambiare regolarmente) e 15 seed di TOTP, hai voglia ad usare il taccuino di carta...

[Silent Bob]

io mai usati, ma tralasciando gli altri, mai sentiti, 1Password non aveva già subito qualcosa del genere tempo fa o mi confondo con altro?

[maldepanza]

Quote:

Originariamente inviato da alexfri

Quando tutti scrivevano la combinazione dell'armadietto, della cassaforte ecc, sui taccuini, tu scrivila sui primissimi computer, quando tutti cercano le password dentro i vostri computer.. scrivetele su un taccuino di carta...offline.

Cazzate, guardacaso uno dei primi e quello che uso da lustri non è tra i violati (e vorrei vedere)

[coschizza]

Quote:

Originariamente inviato da marcram

Quando hai 50 password di 20-30 caratteri e simboli (a volte da cambiare regolarmente) e 15 seed di TOTP, hai voglia ad usare il taccuino di carta...

io ho 143 password senza considerare quelle del lavoro

[DelusoDaTiscali]

Quote:

Originariamente inviato da marcram

Quando hai 50 password di 20-30 caratteri e simboli (a volte da cambiare regolarmente) ...

Cosa meglio che memorizzarle in un password manager che a sua volta c' ha PWD "1234" e via così?

[lammoth]

Quote:

Originariamente inviato da Silent Bob

io mai usati, ma tralasciando gli altri, mai sentiti, 1Password non aveva già subito qualcosa del genere tempo fa o mi confondo con altro?

E' LastPass che è stato bucato più volte e, nonostante ciò, pare che sia ancora il PW Manager più usato

Bitwarden e 1Password sono di un livello nettamente superiore. Entrambi oggi hanno rilasciato una versione aggiornata dell'estensione per ovviare a questo problema.

A mio avviso comunque non è un problema così grave:
- Se si usa un DNS che blocca i domini di phishing (Quad9, ControlD, NextDNS, ecc) già un 80% della problematica non sussiste più
- Se un sito attendibile viene infettato, molto probabilmente i dati e le credenziali che hai su quel sito sono già in mano agli hacker senza bisogno di abusare dell'autofill

C'è inoltre da dire che, se i PW Manager visualizzano ulteriori messaggi di conferma, da un lato evitano questi problemi dall'altro stufano l'utente che quindi smette di usarli, con tutti i rischi che ne conseguono...

[marcram]

Quote:

Originariamente inviato da DelusoDaTiscali

Cosa meglio che memorizzarle in un password manager che a sua volta c' ha PWD "1234" e via così?

Che c'entra?
Se usi una password stupida, mica è colpa del password manager...

[An.tani]

Keepass password manager

https://keepass.info/

gratis, opensource, multipiattaforma

[Ciack]

Quote:

Originariamente inviato da An.tani

Keepass password manager

https://keepass.info/

gratis, opensource, multipiattaforma

Rilancio: https://keepassxc.org/

[pachainti]

Quote:

Originariamente inviato da lammoth

A mio avviso comunque non è un problema così grave:
- Se si usa un DNS che blocca i domini di phishing (Quad9, ControlD, NextDNS, ecc) già un 80% della problematica non sussiste più
- Se un sito attendibile viene infettato, molto probabilmente i dati e le credenziali che hai su quel sito sono già in mano agli hacker senza bisogno di abusare dell'autofill

Inoltre, è più un problema dei browser e della gestione delle estensioni che dei password manager. Come sempre è l'utente che deve stare attento a non visitare siti malevoli.

[marcram]

Quote:

Originariamente inviato da Ciack

Rilancio: https://keepassxc.org/

E aggiungo: https://www.keepassdx.com/

[insane74]

la ricerca è interessante e sicuramente quelle estensioni devono essere sistemate, ma... non sarebbe più "significativo" verificare il comportamento dei gestori di password "integrati" nel browser? quelli che alla fine il 90% delle persone utilizza?
il gestore delle password di Chrome, di Edge, di Firefox, di Safari, ecc?
sicuramente verificare se anche questi soffrono o meno di questi problemi è più "importante" (perché potenzialmente potrebbe impattare un numero significativamente maggiore di utenti) rispetto ad estensioni che si, hanno milioni di utenti, ma rispetto al "totale" di PC/smartphone sono una percentuale decisamente bassa.
no?

[Nui_Mg]

Quote:

Originariamente inviato da insane74

ma... non sarebbe più "significativo" verificare il comportamento dei gestori di password "integrati" nel browser?

Sono quelli che non andrebbero mai usati, se non per siti poco importanti

[pachainti]

Quote:

Originariamente inviato da insane74

la ricerca è interessante e sicuramente quelle estensioni devono essere sistemate, ma... non sarebbe più "significativo" verificare il comportamento dei gestori di password "integrati" nel browser? quelli che alla fine il 90% delle persone utilizza?
il gestore delle password di Chrome, di Edge, di Firefox, di Safari, ecc?
sicuramente verificare se anche questi soffrono o meno di questi problemi è più "importante" (perché potenzialmente potrebbe impattare un numero significativamente maggiore di utenti) rispetto ad estensioni che si, hanno milioni di utenti, ma rispetto al "totale" di PC/smartphone sono una percentuale decisamente bassa.
no?

Come scritto nella ricerca, questi tipi di attacchi sono validi solo per le estensioni, non per i gestori di password integrati.

A new clickjacking technique where a malicious script manipulates UI elements that browser extensions inject into the DOM by making them invisible using javascript.

Per i browser basati su chromium è consigliato rimuovere i permessi dell'estensione di accesso lettura/scrittura alle pagine, e impostare solo in seguito al click dell'utente.

[insane74]

Quote:

Originariamente inviato da pachainti

Come scritto nella ricerca, questi tipi di attacchi sono validi solo per le estensioni, non per i gestori di password integrati.

A new clickjacking technique where a malicious script manipulates UI elements that browser extensions inject into the DOM by making them invisible using javascript.

Per i browser basati su chromium è consigliato rimuovere i permessi dell'estensione di accesso lettura/scrittura alle pagine, e impostare solo in seguito al click dell'utente.

sorry, evidentemente mi sono perso la parte dove dice espressamente che è un problema solo delle estensioni e non dei gestori integrati.
quindi tanto "meglio", nel senso ovviamente che la maggior parte delle persone non è affetta dal problema.

[marcram]

Quote:

Originariamente inviato da insane74

sorry, evidentemente mi sono perso la parte dove dice espressamente che è un problema solo delle estensioni e non dei gestori integrati.
quindi tanto "meglio", nel senso ovviamente che la maggior parte delle persone non è affetta dal problema.

Purtroppo, però, viene così spinta verso i gestori integrati, che dovrebbero proprio essere evitati...

[insane74]

Quote:

Originariamente inviato da marcram

Purtroppo, però, viene così spinta verso i gestori integrati, che dovrebbero proprio essere evitati...

1) nessuno spinge niente, visto che la maggior parte delle persone manco si pone il problema e va col "default" (che poi se il default non soffre del problema evidenziato da questo studio direi che è un vantaggio piuttosto che uno svantaggio)
2) personalmente non concordo con il "dovrebbero essere evitati". come qualsiasi strumento, se usato male, è potenzialmente inefficace. ma se usato bene (account principale con password forte, autenticazione MFA, ecc) anche i gestori integrati fanno il loro mestiere e spesso sono molto più "comodi" di estensioni varie.
io per lavoro ho un portatile Dell con Windows 11 e uso Edge per le password, e tanto mi basta.
per uso personale, avendo tutto Apple, uso l'app integrata Password. prima usavo 1Password (che è uno dei più raccomandati ma che, stando alla ricerca, soffre ancora di questo bug, per esempio) ma da qualche mese sono passato a Apple Password e mi ci trovo bene. fa tutto quello che deve fare un gestore (gestisce le password, monitora quelle compromesse/riutilizzate, è integrato con l'OS, è l'unico che gestisce correttamente l'integrazione con "Nascondi la mia mail" (funzione utilissima, a patto ovviamente di usare l'app Mail e Safari), ecc ecc).
mail principale dell'account Apple mai condivisa con nessuno e non riconducibile alla mia persona (niente nome.cognome@icloud.com o simili), creato alias "ufficiale" con cui inviare le mail (che ovviamente non può essere usato per accedere all'account). abilitata autenticazione a due fattori. abilitata protezione avanzata di iCloud (tutto criptato E2E anche sul server). disabilitato l'accesso via web. su iPhone/iPad passphrase invece del PIN. impostato tramite "tempo di utilizzo" il blocco alle modifiche all'account/a Dov'è/a Face ID/Touch ID. modificate tutte le mail con cui mi sono registrato ai vari servizi nel corso degli anni (incluso per esempio questo forum) dalla classica mail personale nome.cognome@gmail.com alle mail "random" di "Nascondi la mia mail" (quindi se bucano il forum hanno una mail che possono usare solo per lo SPAM ed essendo univoca ed utilizzata esclusivamente per questo forum saprei subito "l'origine" del problema).

[lammoth]

A detta dei ricercatori, il team di 1Password è stato il più proattivo a comunicare con loro per trovare una soluzione. Insieme sono giunti alla conclusione che, per come sono realizzati i browser, non c'è una soluzione sicura al 100% al momento, ma:

- Si può intervenire mitigando il problema: non viene risolto al 100% e può causare errori su siti attendibili, ma il tutto è trasparente per l'utente finale (questa strada è stata intrapresa da Bitwarden e altri)

- Si può aggiungere una alert di conferma prima del riempimento dei campi: è sicuro al 100% ma potrebbe infastidire l'utente finale, se attiva questa misura di sicurezza (questa strada è stata intrapresa da 1Password)

Qui è tutto ben spiegato: https://support.1password.com/kb/202508/

L'articolo comunque dice che disattivare l'autofill NON è consigliato perché è molto più facile cadere nel phishing (molto più comune del clickjacking). Infatti sia Keepass che 1Password hanno una funzione di autotype dal client desktop, totalmente slegato dal browser, ma spetta all'utente verificare che il sito NON sia qualcosa tipo https://gooogle.com