Opasnost u menadžerima lozinki: Jedan klik može otkriti sve vaše podatke!
Na prestižnoj hakerskoj konferenciji DEF CON, bezbednosni istraživač Marek Tot iz Češke razotkrio je kritične slabosti u najpopularnijim ekstenzijama za menadžere lozinki. Njegovo otkriće upozorava: dovoljan je jedan bezazlen klik da vaši najosetljiviji podaci završe u pogrešnim rukama.
Ekstenzije za veb pregledače, dizajnirane da olakšaju život korisnicima, postale su neočekivani bezbednosni propust. Umesto da vas štite, one pod određenim uslovima mogu nesvesno postati alat za krađu identiteta.
Jedan klik do kompromitovanih podataka
Tot je demonstrirao scenario u kojem korisnik klikne na običan element na sajtu, kao što je baner, CAPTCHA ili dugme za prihvatanje kolačića, a u pozadini, bez ikakve potvrde, menadžer lozinki automatski popuni formu sa vašim podacima. Sve se dešava u milisekundi, bez vidljivih tragova.
Napadači koriste tehnike poput nevidljivih iframe slojeva ili poddomena na legitimnim sajtovima kako bi sakrili zlonamerne forme. Kada korisnik stupi u interakciju s takvom stranom, njegova lozinka, broj kartice ili lični podaci mogu biti automatski poslati napadaču.
Ko je pogođen? Gotovo svi
Na listi ranjivih nalaze se najpoznatiji servisi: 1Password, Bitwarden, Dashlane, Enpass, iCloud Passwords, Keeper, LastPass, LogMeOnce, NordPass, ProtonPass i RoboForm. Reč je o imenima koja korisnici širom sveta svakodnevno koriste za zaštitu digitalnog identiteta.
Dok su pojedine kompanije reagovale brzo i zakrpile propuste, uključujući Bitwarden, 1Password, Enpass, iCloud Passwords, LastPass i LogMeOnce, najmanje šest menadžera i dalje ostaje ranjivo. To ostavlja desetine miliona korisnika izloženim potencijalnom napadu.
Automatsko popunjavanje, tihi izdajnik
Problem leži u preteranom oslanjanju na automatsko popunjavanje koje se odvija bez potvrde korisnika. Iako ova funkcionalnost štedi vreme, ona ujedno može biti tačka kroz koju hakeri dobijaju pristup celom digitalnom životu korisnika.
Tot je pokazao da su potrebna svega četiri klika da se kompromituje kompletan sadržaj menadžera lozinki. Činjenica da osetljive informacije mogu biti prosleđene bez eksplicitne dozvole korisnika otvara ozbiljna pitanja o prioritetima proizvođača, komfor ili bezbednost?
Zašto proizvođači ne reaguju brže?
Najjednostavnije rešenje bilo bi uvođenje prozora za potvrdu pre svakog automatskog unosa podataka. Međutim, proizvođači izbegavaju ovaj korak jer smatraju da dodatna interakcija smanjuje kvalitet korisničkog iskustva.
Rezultat je kompromis koji ide na štetu korisnika. Dok su hakeri sve kreativniji, proizvođači ostaju pasivni, balansirajući između sigurnosti i praktičnosti, često na štetu prve. U trci za boljim korisničkim iskustvom, zaboravlja se da bezbednost ne sme biti opcioni dodatak.
Kako da zaštitite svoje podatke odmah
- Isključite opciju automatskog popunjavanja u podešavanjima menadžera lozinki
- Koristite funkciju kopiranja i lepljenja umesto automatskog unosa
- Ograničite popunjavanje samo na tačno definisane URL-ove, izbegavajući opšte poddomene
- U Chromium pregledačima podesite ekstenzije da reaguju samo na vaš klik
- Ako primetite da se polja popunjavaju bez vaše inicijative, odmah prekinite sesiju i promenite lozinke
Zabranjeno preuzimanje dela ili čitavog teksta i/ili foto/videa, bez navođenja i linkovanja izvora i autora, a u skladu sa odredbama WMG uslova korišćenja i Zakonom o javnom informisanju i medijima.
