The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Атака на браузерные дополнения с менеджерами паролей, использующая кликджекинг"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Атака на браузерные дополнения с менеджерами паролей, использующая кликджекинг"  +/
Сообщение от opennews (??), 24-Авг-25, 11:34 
На конференции DEF CON 33 представлен метод атаки на браузерные дополнения, подставляющие свои элементы интерфейса в просматриваемую страницу. Применение атаки к дополнениям с менеджерами паролей может привести к утечке хранимой в менеджерах паролей информации, такой как параметры аутентификации, параметры кредитных карт, персональные данные и одноразовые пароли для двухфакторной аутентификации. Проблема затрагивает все протестированные менеджеры паролей, включая 1Password, Bitwarden, LastPass, KeePassXC-Browser, NordPass, ProtonPass и Keeper...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63754

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  +7 +/
Сообщение от Аноним (1), 24-Авг-25, 11:34 
Автотайпинг паролей небезопасен, говорили мне. Хорошо, что под Вяленым Кипасс не умеет автотайпить. Пользуйся дополнением к браузеру, это безопасно! Ага...
Ответить | Правка | Наверх | Cообщить модератору

3. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  +/
Сообщение от Аноним (3), 24-Авг-25, 11:40 
Кипасс спрашивает разрешения на доступ для сайта. Разрешил для левака? ССЗБ. Новость ни о чем.
Ответить | Правка | Наверх | Cообщить модератору

6. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  –5 +/
Сообщение от Витюшка (?), 24-Авг-25, 11:59 
Ну то есть не безопасность, а "сам себе дурак". Не ограждения в сталелетейном заводе, а "подпиши документ, обязуйся ему следовать - там написано в чан не падать! Иначе сам себе дурак".
Ответить | Правка | Наверх | Cообщить модератору

17. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  –1 +/
Сообщение от Аноним (17), 24-Авг-25, 13:37 
Запрос доступа - это и есть ограничения по твоей аналогии. Если ты за них перелез - то да, сам дурак.
Ответить | Правка | Наверх | Cообщить модератору

16. Скрыто модератором  –1 +/
Сообщение от Аноним (16), 24-Авг-25, 13:13 
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

26. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  –1 +/
Сообщение от Аноним (26), 24-Авг-25, 14:44 
> Хорошо, что под Вяленым Кипасс не умеет автотайпить.

Ну дык, этож от вендузятников для вендузятников:
https://marektoth.com/images/protonui.png
https://marektoth.com/images/dombased-passkeys2.png
> Software: Greenshot [Greenshot is a light-weight screenshot software tool for Windows]
>

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  +18 +/
Сообщение от Аноним (2), 24-Авг-25, 11:39 
Если атакующий выполняет на странице свой код, проблемы у вас будут и без дополнений для автоввода пароля. Например, он может перенаправить получателя формы на себя, таким образом украв ваш пароль. А вам сымитировать ошибку.
Ответить | Правка | Наверх | Cообщить модератору

10. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  +2 +/
Сообщение от Аноним (10), 24-Авг-25, 12:27 
На перенаправленной левой странице менеджер паролей вставку не предложит, а на изменённой через XSS реальной странице предложит.
Ответить | Правка | Наверх | Cообщить модератору

18. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  +4 +/
Сообщение от Аноним (17), 24-Авг-25, 13:39 
Блин, если страницу кто-то изменил через XSS, то проблемы у вас _намного_ хуже, чем воровство паролей. Все ваши данные на сайте уже у злоумышленника.
Ответить | Правка | Наверх | Cообщить модератору

4. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  +/
Сообщение от Аноним (4), 24-Авг-25, 11:43 
И только из контекста блин понятно, что это затрагивает (в основном) хром\хромиум-браузеры. И на тестовой странице об этом явное предупреждение есть.

А в заголовок вынести это уточнение было нельзя?

Ответить | Правка | Наверх | Cообщить модератору

11. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  +/
Сообщение от Аноним (10), 24-Авг-25, 12:30 
Метод работает и в Chrome и в Firefox. Про firefox отдельная ремарка, что в нём _нет_ опциональной защиты, которая есть в Chrome (Extension settings → site access → "on click").
Ответить | Правка | Наверх | Cообщить модератору

5. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  +/
Сообщение от MxZS (?), 24-Авг-25, 11:59 
Например, дополнение KeePassXC-Browser обращается к базе паролей через менеджер KeePassXC, который при обращении к каждому НОВОМУ ресурсу просит пользователя дать разрешение на использование паролей на КОНКРЕТНОМ веб-сайте. Т.е. даже если элементы/поля ввода данных скрыты и скрыты кнопки их отправки/ввода, как описано в статье, то пользователь увидит запрос от менеджера паролей, что не может не вызвать подозрений.
Ну и сам факт того, что для эксплуатации этой "уязвимости" нужен доступ на управление веб-ресурсом или его поддоменом, сводит на нет претензии к разработчикам менеджеров, которые правильно подметили, что проблема фундаментальная, а не в их продуктах.
Ответить | Правка | Наверх | Cообщить модератору

9. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  +/
Сообщение от Аноним9000 (?), 24-Авг-25, 12:13 
Ну битварден, например, сливал данные банковской карты по любому клику на "капчу" на любом сайте. Так что там есть что править и в парольном менеджере
Ответить | Правка | Наверх | Cообщить модератору

58. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  +/
Сообщение от MxZS (?), 25-Авг-25, 00:22 
Т.е. если "битварден" оказался спайварем, то остальные тоже по умолчанию такие же? Если в Андроид есть ошибка или закладка, то она автоматом появляется в АйОС? И до куче в винде, линухе и т.п.?
Ответить | Правка | Наверх | Cообщить модератору

25. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  –1 +/
Сообщение от 12yoexpert (ok), 24-Авг-25, 14:42 
ну то есть все аддоны подвержены, но keepassxc ты всё равно прорекламируешь, деньги-то уплочены
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

57. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  +/
Сообщение от MxZS (?), 25-Авг-25, 00:17 
Какие деньги? Он бесплатный и ставится локально.
Ответить | Правка | Наверх | Cообщить модератору

12. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  +1 +/
Сообщение от 0xdeadbee (-), 24-Авг-25, 12:31 
менетжер паролей pass безопасен !
если плюнуть на фундаментальные проблемы X cliboard, за попытку отрефакторить которые мне в панамку напихали.

Package: pass
Version: 1.7.4-6
Priority: optional
Section: admin
Source: password-store
Maintainer: Colin Watson <cjwatson@debian.org>
Installed-Size: 131 kB
Depends: gnupg, tree
Recommends: git, qrencode, xclip, wl-clipboard
Suggests: libxml-simple-perl, perl, python, python3, ruby
Homepage: https://www.passwordstore.org/
Download-Size: 34.0 kB
APT-Sources: https://deb.debian.org/debian bookworm/main amd64 Packages
Description: lightweight directory-based password manager
Stores, retrieves, generates, and synchronizes passwords securely using gpg and git.

Ответить | Правка | Наверх | Cообщить модератору

28. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  –1 +/
Сообщение от 12yoexpert (ok), 24-Авг-25, 14:48 
фундаментальные проблемы с иксами только у фанатиков вяленого, запускающих у себя варезный мусор вместо софта
поневоле задумаешься, а в иксах ли дело?
Ответить | Правка | Наверх | Cообщить модератору

38. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  +/
Сообщение от Аноним (38), 24-Авг-25, 16:36 
У фанатиков работодателей, ты хотел сказать? Далеко не весь софт в твоей системе ты поставил себе сам, а если и сам -- то далеко не факт, что ты сделал это добровольно. Работодатель может иметь свой проприетарный SDK в виде бинаря, который ты как миленький поставишь. Или такой сценарий: ты на рабочем созвоне (узнаешь, что это такое, когда закончишь школу), а потом работодатель такой: "блин, голосом не удобно, поставь расширение по коллективному редактированию файлов в vscode, вот ссылка" -- и тебе даже особо время не дается подумать, потому что созвон идет вот прямо щас, и все ждут только тебя. И когда у тебя вяленый, ты будешь уверен, что бинарь, идущий в составе расширения, не пойдет скриншотить что-либо. Welcome to the real world, jackass.
Ответить | Правка | Наверх | Cообщить модератору

43. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  +/
Сообщение от Аноним (43), 24-Авг-25, 18:13 
Работодатель на созвоне хакает линуксоидного РАБотника через дополнение к vscode. Вот это манямирок!
Ответить | Правка | Наверх | Cообщить модератору

44. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  –1 +/
Сообщение от 12yoexpert (ok), 24-Авг-25, 18:27 
рабское мышление, не о чем разговаривать
Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

45. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  +/
Сообщение от Аноним (45), 24-Авг-25, 18:34 
У работодателей с проприетарным либами обязательно посещение офиса, если уж и дают работать из дома, то выдают преднастроенное железо с зондами, чтобы их проприетарные секретки не утекли куда не надо, и работники работу работали.
А раз на своё зонды ставишь, то Вейланд не поможет, программы все от одного пользователя работают, все хранилища паролей всем доступны.
Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

47. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  +/
Сообщение от Аноним (38), 24-Авг-25, 19:12 
> если уж и дают работать из дома, то выдают преднастроенное железо с зондами

Не говори за всех.

> Вейланд не поможет

Поможет, если используются линукс-неймспейсы. А теперь внимание: линукс-неймспейсы + иксы = клиенты все еще могут скриншотить и кейлоггерить. А вот линукс-неймспейсы + вяленый = тотальная изоляция. Чуешь разницу? Уже догадываешься, почему иксы выпинывают из всех популярных дистров, DE, тулкитов и так далее?

Ответить | Правка | Наверх | Cообщить модератору

48. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  +/
Сообщение от Аноним (48), 24-Авг-25, 19:43 
Так запускай несколько X-серверов на разных tty и не жалуйся.
Ответить | Правка | Наверх | Cообщить модератору

50. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  +/
Сообщение от Аноним (38), 24-Авг-25, 20:10 
Малварь может коннектиться к любому из твоих /tmp/.x11-unix, прикинь? Да и удобством тут не пахнет, если для изоляции надо запускать отдельный сервер на одно приложение. Спасибо, но в firejail с этим настрадались уже.
Ответить | Правка | Наверх | Cообщить модератору

30. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  +/
Сообщение от щука улетела лебедь утонул (?), 24-Авг-25, 15:05 
Нет буфера обмена - нет проблемы. И пользователь такой сидит как краб и таращит.
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

15. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  +1 +/
Сообщение от Аноним (15), 24-Авг-25, 12:56 
Всегда вручную копирую пароли.
Ответить | Правка | Наверх | Cообщить модератору

19. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  +1 +/
Сообщение от Аноним (19), 24-Авг-25, 13:45 
Зловред:
- Всегда сижу и жду когда кто-нибудь скопирует пароль
Ответить | Правка | Наверх | Cообщить модератору

36. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  +/
Сообщение от Аноним (36), 24-Авг-25, 16:21 
Не доверяешь своему десктопу - изолируй в отдельный десктоп + отдельного юзера. Или сделай отдельный magick-cookie в иксах, чтобы заработало Xsecurity и недоверенные приложения не видели инпут и буферы обмена друг у друга.
Ответить | Правка | Наверх | Cообщить модератору

20. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  +/
Сообщение от Аноним (19), 24-Авг-25, 13:47 
Все переходим на passkey, нечему будет утекать
Ответить | Правка | Наверх | Cообщить модератору

22. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  +/
Сообщение от Голдер и Рита (?), 24-Авг-25, 14:03 
Detecting Compromise of Passkey Storage on the Cloud

https://www.usenix.org/system/files/conference/usenixsecurit...

Ответить | Правка | Наверх | Cообщить модератору

23. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  +2 +/
Сообщение от YetAnotherOnanym (ok), 24-Авг-25, 14:10 
> браузерные дополнения подставляют диалог с запросом автоподстановки пароля непосредственно на отображаемую страницу, интегрируя свои элементы в DOM (Document Object Model) данной страницы

Оказывается, если пустить к себе домой постороннего человека для какой-то работы, он может получить доступ к вещам в доме. Вот сюрпрайз-то какой!

Ответить | Правка | Наверх | Cообщить модератору

24. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  –1 +/
Сообщение от Аноним (24), 24-Авг-25, 14:29 
Никогда не пользовался именно браузерными хранилками паролей, потому что сама идея хранить пароли в приложении, через которое тебя в первую очередь будут ломать кажется тупой изначально.
Но если уж делать это в браузере, то это же очевидно что диалоги из таких дополнений должны быть вне пределов страницы. Например как у расширения для Яндекс Музыки. Встраивая что-то в страницу мы сразу даём возможность этим манипулировать изнутри страницы. Вроде бы это очевидно должно быть разрабам таких продуктов.

К слову такая же уязвимость есть не только в расширениях, но и в самом Хроме. Если пароль для сайта был запомнен, то он автоматически вводится в форму. Осталось только считать из неё данные или отправить на свой сервер.

Ответить | Правка | Наверх | Cообщить модератору

27. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  +1 +/
Сообщение от Аноним (27), 24-Авг-25, 14:46 
Во времена XUL таких проблем не было.
Ответить | Правка | Наверх | Cообщить модератору

29. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  +1 +/
Сообщение от глаза втекли обратно (?), 24-Авг-25, 15:01 
Да вы гляньте на видео! Там норм отрисовка шрифтов. Не ШГ! Как они этого добились? Там же Линукс!
Ответить | Правка | Наверх | Cообщить модератору

31. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  +/
Сообщение от Аноним (26), 24-Авг-25, 15:26 
> Да вы гляньте на видео! Там норм отрисовка шрифтов. Не ШГ! Как
> они этого добились? Там же Линукс!

Ты видео точно глядел? Там "Windows NT 10.0"

Ответить | Правка | Наверх | Cообщить модератору

34. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  +/
Сообщение от снова вытекли (?), 24-Авг-25, 16:08 
Да я только первые секунды. Тьфу ты! Так и знал, что засада.
Ответить | Правка | Наверх | Cообщить модератору

46. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  +/
Сообщение от Аноним (46), 24-Авг-25, 19:05 
В Хроме на венде были самые паршивые шрифты. Да и в Еже старом тоже, новый патчат специальными патчами, чтобы было нормально, в отличие от Хрома. Вот интерфейсный Segoe выглядит идеально, в линуксе только растровые шрифты приближаются к такому уровню, а всё остальное вырвиглаз хуже линукса.
Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

35. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  +/
Сообщение от Аноним (35), 24-Авг-25, 16:09 
Почему при вставке пароля окно подтверждения не вызвать через window.open?
Ответить | Правка | Наверх | Cообщить модератору

37. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  +/
Сообщение от Аноним (36), 24-Авг-25, 16:25 
Хороший вопрос. Почему не делают это в отдельном окне, с возможностью ткнуть по "показать подробнее" с указанием на то, в какой элемент предлагается вставка?
Ответить | Правка | Наверх | Cообщить модератору

39. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  +/
Сообщение от Ценитель GPL рогаликовemail (?), 24-Авг-25, 16:52 
> Применение атаки к дополнениям с менеджерами паролей может привести к утечке хранимой в менеджерах паролей информации, такой как параметры аутентификации, параметры кредитных карт, персональные данные и одноразовые пароли для двухфакторной аутентификации. Проблема затрагивает все протестированные менеджеры паролей, включая 1Password, Bitwarden, LastPass, KeePassXC-Browser, NordPass, ProtonPass и Keeper.

Люди вообще обленились. Не хотят запоминать 2-3 пароля из 5 средней длины слов + знаки + цифры. В рецепте каких-нибудь блинчиков с начинкой слов и то больше!

Ответить | Правка | Наверх | Cообщить модератору

40. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  +/
Сообщение от Аноним (40), 24-Авг-25, 17:41 
Да и вообще, бумагу и карандаш вроде никто не отменял, всегда можно записать пароль на, так сказать, "физическом носителе". Уже сейчас многие просто забыли, как пишутся некоторые буквы, вангую, лет через пятьдесят, человеки вообще забудут, что такое письменность. Р.S. Сейчас в комментарии прибегут "мамкины безопасники" с криками "бумага, это небезопасно!!!".
Ответить | Правка | Наверх | Cообщить модератору

56. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  +/
Сообщение от Ценитель GPL рогаликовemail (?), 25-Авг-25, 00:01 
> Да и вообще, бумагу и карандаш вроде никто не отменял, всегда можно записать пароль на, так сказать, "физическом носителе".

Для одинокой станции на краю планеты вполне себе вариант.  

>  Уже сейчас многие просто забыли, как пишутся некоторые буквы, вангую, лет через пятьдесят, человеки вообще забудут, что такое письменность.

К счастью других. Рот еще научат держать закрытым и мир станет лучше. Пишущий дегенерат с грамотной речью становится общественной проблемой.

Ответить | Правка | Наверх | Cообщить модератору

41. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  +/
Сообщение от Любитель идиотов (?), 24-Авг-25, 17:46 
20-30... 100-200 паролей из.. Тролль!
Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

55. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  +/
Сообщение от Ценитель GPL рогаликовemail (?), 24-Авг-25, 23:40 
> 20-30... 100-200 паролей из..

Ты же сам такую работу выбрал, где иначе нельзя. Или она тебя. Наслаждайся.

> Тролль!

Ни в коем случае! Те у кого другая работа, обходятся всего несколькими паролями.

Ответить | Правка | Наверх | Cообщить модератору

42. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  +1 +/
Сообщение от Аноним (42), 24-Авг-25, 17:59 
> Создание навязчивого элемента на странице, стимулирующего совершение клика.

Ещё одна причина использовать блокировщики рекламы.

Ответить | Правка | Наверх | Cообщить модератору

49. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  +/
Сообщение от DasKolbass (?), 24-Авг-25, 19:46 
NoScript
Ответить | Правка | Наверх | Cообщить модератору

52. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  +/
Сообщение от cheburnator9000 (ok), 24-Авг-25, 20:57 
Не зря я никогда не использовал эти интеграции в браузеры. Как в воду глядел.
Ответить | Правка | Наверх | Cообщить модератору

53. Скрыто модератором  +/
Сообщение от Аноним (53), 24-Авг-25, 23:14 
Ответить | Правка | Наверх | Cообщить модератору

54. "Атака на браузерные дополнения с менеджерами паролей, исполь..."  +/
Сообщение от rshadow (ok), 24-Авг-25, 23:21 
Суммаризирую.
Браузеры не делают API для управления секретами для того чтобы пользователь был прибит гвоздями к их инфраструктуре. Куча поделок все же пытаются что-то сделать на коленке и выходит с разной степенью юзабельности. При этом безопасность всего этого вперде.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру