Verdere info via deze link: https://www.agconnect.nl/business/secur ... ickjackingMiljoenen mensen vertrouwen dagelijks op passwordmanagers om hun wachtwoorden veilig te bewaren. Maar recent onderzoek toont aan dat zes grote aanbieders kwetsbaar zijn voor een verrassend simpele aanval: clickjacking. Daarbij denken gebruikers dat ze op een onschuldige knop klikken, terwijl ze ongemerkt gevoelige gegevens prijsgeven.
Wachtwoord managers lekken Wachtwoorden
-
Data technicus
- Elite Poster
- Berichten: 969
- Lid geworden op: 21 mei 2020, 14:39
- Locatie: Spalbeek (Hasselt)
- Uitgedeelde bedankjes: 2 keer
- Bedankt: 121 keer
- Recent bedankt: 5 keer
Blijkbaar lekken veel paswoord managers wachtwoorden via clickjacking-aanvallen.
-
sandbert
- Plus Member
- Berichten: 193
- Lid geworden op: 16 feb 2020, 21:10
- Uitgedeelde bedankjes: 48 keer
- Bedankt: 34 keer
Bewijst nog maar eens dat alles misbruikt kan worden.
Die autofill heb ik trouwens altijd al gewantrouwd en daarom nooit gebruikt, gelukkig maar.
Kopiëren en plakken van gebruikersnaam en wachtwoord vraagt wat meer tijd, maar is dus wel veel veiliger.
Die autofill heb ik trouwens altijd al gewantrouwd en daarom nooit gebruikt, gelukkig maar.
Kopiëren en plakken van gebruikersnaam en wachtwoord vraagt wat meer tijd, maar is dus wel veel veiliger.
-
CCatalyst
- Elite Poster
- Berichten: 9659
- Lid geworden op: 20 jun 2016, 18:36
- Uitgedeelde bedankjes: 19 keer
- Bedankt: 603 keer
- Recent bedankt: 1 keer
Da's ook weer zo'n exploit die in de praktijk toch moeilijker is dan ze laten uitschijnen.
Vult uw password manager dan bv uw PayPal paswoord zomaar in op een site die niet onder paypal.com valt?
Zoja => slechte password manager
Zonee => hij zal uw PayPal pass niet lekken via deze manier
Als het echt een slecht beveiligde site is en ze kunnen een XSS doen, dan zou het wel nog lukken, maar dat zou je toch niet voor mogen hebben op sites waar veiligheid van belang is. Weliswaar opnieuw: "zou".
Het risico is veeleer voor site-onafhankelijke gegevens als uw naam of adres en ook kredietkaart nummer etc. Hangt ervan af of dat in uw password manager zit en hoe snel hij die autofillt. Je moet ook eerst nog op een phishing link klikken btw (of gesocialengineered worden).
Vult uw password manager dan bv uw PayPal paswoord zomaar in op een site die niet onder paypal.com valt?
Zoja => slechte password manager
Zonee => hij zal uw PayPal pass niet lekken via deze manier
Als het echt een slecht beveiligde site is en ze kunnen een XSS doen, dan zou het wel nog lukken, maar dat zou je toch niet voor mogen hebben op sites waar veiligheid van belang is. Weliswaar opnieuw: "zou".
Het risico is veeleer voor site-onafhankelijke gegevens als uw naam of adres en ook kredietkaart nummer etc. Hangt ervan af of dat in uw password manager zit en hoe snel hij die autofillt. Je moet ook eerst nog op een phishing link klikken btw (of gesocialengineered worden).
-
bollewolle
- Elite Poster
- Berichten: 984
- Lid geworden op: 16 nov 2007, 12:53
- Twitter: bollewolle
- Locatie: Gent
- Uitgedeelde bedankjes: 201 keer
- Bedankt: 100 keer
- Recent bedankt: 1 keer
Was er niet van op de hoogte maar dat verklaart wel waarom ik in een van de laatste 1Password extension release notes zag passeren dat er een "Ask before filling" optie is toegevoegd (met een paar opties waarvoor het gevraagd moet worden en waarvoor niet).
-
Data technicus
- Elite Poster
- Berichten: 969
- Lid geworden op: 21 mei 2020, 14:39
- Locatie: Spalbeek (Hasselt)
- Uitgedeelde bedankjes: 2 keer
- Bedankt: 121 keer
- Recent bedankt: 5 keer
-
Splitter
- Elite Poster
- Berichten: 5918
- Lid geworden op: 10 maa 2010, 12:30
- Uitgedeelde bedankjes: 68 keer
- Bedankt: 605 keer
ik heb gewoon de autofill uitstaan, als in: ik moet op het login-veld klikken en dan kiezen voor het in te laten vullen door de bitwarden extensie.
door vervolgens ook te kijken op welke site ik uberhaupt zit, ben ik -normaalgezien- relatief veilig voor dit soort aanval.
(ik denk dat er veel "gevaarlijkere" mogelijkheden zijn om een browserextensie aan te vallen dan de autofill proberen te misbruiken)
door vervolgens ook te kijken op welke site ik uberhaupt zit, ben ik -normaalgezien- relatief veilig voor dit soort aanval.
(ik denk dat er veel "gevaarlijkere" mogelijkheden zijn om een browserextensie aan te vallen dan de autofill proberen te misbruiken)
-
CCatalyst
- Elite Poster
- Berichten: 9659
- Lid geworden op: 20 jun 2016, 18:36
- Uitgedeelde bedankjes: 19 keer
- Bedankt: 603 keer
- Recent bedankt: 1 keer
Inderdaad.
Understatement van de dag.Splitter schreef: 6 dagen geleden ik denk dat er veel "gevaarlijkere" mogelijkheden zijn om een browserextensie aan te vallen
De staat van security research valt me ook wel op de laatste tijd. Men beschrijft vaak exploits die wel bestaan, maar zodanig vergezocht zijn of zodanig veel "juiste omstandigheden" vereisen dat ze in de praktijk moeilijk of bijna niet uit te voeren zijn. Tegelijk kraait er dan geen haan naar gapende mogelijkheden om idd bv via browserextensies data te exfiltreren, zonder enige tussenkomst van de gebruiker.
Ik vrees dat dit een beetje het gevolg is van de bug bounties. Men concentreert nu vooral op die bug bounties binnen te halen, aangezien al het laaghangend fruit al lang geplukt is moet dat nu met extreem vergezochte manieren, terwijl een obscure browserextensie die uiteraard geen bug bounty programma heeft dan door de mazen van het net glipt.
