Otkriven opasan napad: Menadžeri lozinki podložni krađi podataka

Na nedavnoj DEF CON konferenciji otkriven je ozbiljan bezbednosni propust u popularnim menadžerima lozinki. 

Istraživač Marek Tot pokazao je da pomoću takozvanog clickjacking napada mogu da se ukradu podaci koje čuvaju ekstenzije za pregledače – uključujući lozinke, brojeve kartica, pa čak i kodove za dvofaktorsku autentifikaciju.

Napad funkcioniše tako što napadač postavlja nevidljivi sloj preko pravog elementa na veb stranici. Korisnik misli da klikće na bezopasno dugme, a zapravo aktivira skriveni meni menadžera lozinki i nesvesno otkriva svoje podatke.

• Stručnjaci savetuju: Evo koliko često bi trebalo da menjate lozinke
• Gasi se poznati servis za čuvanje lozinki: Odmah uradite ovo
• Microsoft: Nema više lozinki za nove naloge

Na listi ugroženih su gotovo svi poznati servisi: 1Password, LastPass, NordPass, Enpass i drugi. Neki proizvođači su već objavili zakrpe (Dashlane, Keeper, NordPass), dok kod drugih popravke još nisu dostupne.

Kako da se zaštitite

• Isključite automatsko popunjavanje lozinki dok ne dobijete ažuriranje.
• Koristite ručni unos (copy–paste) umesto automatskog.
• Na Chrome i sličnim pregledačima podesite da se ekstenzija aktivira samo kada vi kliknete na ikonicu.

Clickjacking napadi pokazuju koliko su ekstenzije za čuvanje lozinki ranjive kada se koriste u pregledaču. Dok proizvođači ne zakrpe bezbednosne rupe, korisnicima se savetuje dodatni oprez i što ređe korišćenje opcije automatskog popunjavanja.