This post is also available in:
English (אנגלית)
חולשה חדשה שנחשפה לאחרונה וממוקדת במספר מנהלי סיסמאות פופולריים מעוררת דאגה רבה בנוגע לאבטחת תכונת המילוי האוטומטי. הליקוי מאפשר לתוקפים לגנוב פרטי התחברות ונתוני אשראי מהמשתמשים כמעט ללא כל אינטראקציה—לעיתים בלחיצה אחת בלבד.
במהלך כנס אבטחה שנערך לאחרונה, החוקר מארק טוט (Marek Toth) חשף כיצד ניתן לנצל מנהלי סיסמאות לדפדפן באמצעות טכניקות כגון clickjacking ומניפולציות אחרות. החולשה משפיעה על שירותים מוכרים, כולל 1Password, Bitwarden, LastPass, Dashlane, NordPass ואחרים. ברוב המקרים, הבעיה טרם תוקנה.
שורש הבעיה נעוץ באופן שבו תוספי הדפדפן של מנהלי הסיסמאות מטפלים בפונקציית המילוי האוטומטי. התוספים נועדו למלא אוטומטית טפסי התחברות עם פרטי הגישה השמורים. עם זאת, הם לעיתים עושים זאת מבלי לוודא כראוי את הלגיטימיות של עמוד האינטרנט או רכיבי הטופס. תוקפים יכולים לנצל זאת על ידי שילוב מסגרות בלתי נראות (iframes) או שימוש בשכבות המדמות אלמנטים לגיטימיים כמו הסכמה לאיסוף עוגיות או CAPTCHAכדי להפעיל את פעולת המילוי האוטומטי.
לאחר שהמילוי הופעל, הטפסים הזדוניים אוספים את המידע הרגיש ומשדרים אותו לשרתים חיצוניים—וכל זאת מבלי שהמשתמש יבחין כלל בפריצה. באחד המקרים, עמוד התחברות של אתר מוכר הוטמע בתוך iframe מוסתר, ומעליו הוצב אלמנט שקוף. לחיצה של המשתמש על אלמנט תמים הובילה את מנהל הסיסמאות למלא את השדות, והמידע נשלח מיד לתוקפים.
התקפות אלו אינן מוגבלות לשיטה אחת בלבד. החוקרים הדגימו מספר טקטיקות שפועלות יחדיו כדי לעקוף את מנגנוני ההגנה הנוכחיים של התוספים. בין השיטות: מניפולציה של סאב-דומיינים, שימוש ב- cross-site scriptingוניצול מנגנוני cache כדי להפעיל מילוי אוטומטי באופן מטעה.
נכון לעכשיו, לפחות שישה ממנהלי הסיסמאות המרכזיים טרם שחררו תיקון מלא. עד להגעת עדכונים רשמיים, מומלץ למשתמשים לכבות את תכונת המילוי האוטומטי בתוספי הדפדפן. מומחי אבטחה ממליצים במקום זאת להעתיק ולהדביק ידנית את פרטי ההתחברות כדי למנוע דליפות נתונים בלתי מכוונות.
ככל שמנהלי סיסמאות ממשיכים להוות כלי נפוץ לניהול אבטחה, גילוי זה מדגיש את הצורך במנגנוני אימות חזקים יותר לפני שמידע רגיש מוזן לטפסים מקוונים. משתמשים מתבקשים לנקוט משנה זהירות, גם באתרים שנראים מהימנים, ולוודא שהם מעדכנים את התוספים והאפליקציות שברשותם באופן שוטף.
