Na nedavnoj DEF CON konferenciji otkriven je ozbiljan bezbjednosni propust u popularnim menadžerima lozinki. 

Istraživač Marek Tot pokazao je da pomoću takozvanog clickjacking napada mogu da se ukradu podaci koje čuvaju ekstenzije za pregledače – uključujući lozinke, brojeve kartica, pa čak i kodove za dvofaktorsku autentifikaciju.

Napad funkcioniše tako što napadač postavlja nevidljivi sloj preko pravog elementa na veb stranici. Korisnik misli da klikće na bezopasno dugme, a zapravo aktivira skriveni meni menadžera lozinki i nesvjesno otkriva svoje podatke.

Na listi ugroženih su gotovo svi poznati servisi: 1Password, LastPass, NordPass, Enpass i drugi. Neki proizvođači su već objavili zakrpe (Dashlane, Keeper, NordPass), dok kod drugih popravke još nisu dostupne.

Kako da se zaštitite

Povezani članci

Tehnologija

Microsoft briše lozinke: Hitno preduzmite ove mjere

Tehnologija

Više od 50 Chrome ekstenzija vas tajno špijunira

Tehnologija

Youtube uveo promjenu: Da li je došla i do vas?

• Isključite automatsko popunjavanje lozinki dok ne dobijete ažuriranje.
• Koristite ručni unos (copy–paste) umjesto automatskog.
• Na Chrome i sličnim pregledačima podesite da se ekstenzija aktivira samo kada vi kliknete na ikonicu.

Clickjacking napadi pokazuju koliko su ekstenzije za čuvanje lozinki ranjive kada se koriste u pregledaču. Dok proizvođači ne zakrpe bezbjednosne rupe, korisnicima se savjetuje dodatni oprez i što ređe korišćenje opcije automatskog popunjavanja.