详细内容或原文请订阅后点击阅览
clickjack攻击窃取密码经理的秘密
今年夏天揭示了ClickJack攻击,该攻击可以窃取已集成到Web浏览器中的密码管理器的凭据。
来源:Malwarebytes Labs 博客有时似乎一切都在网上有毒,而最新的好处变不好了:浏览器弹出窗口看起来像是在试图帮助或验证您可以被编程为从密码管理器中窃取数据。更糟糕的是,大多数基于浏览器的密码管理器仍然容易受到攻击。
此问题影响密码管理器,例如1Password,LastPass,NordPass和Enpass。它们是在线服务,可将所有访问凭据存储在加密的保管库中,并且在需要时,它们会使用浏览器扩展程序自动填写这些密码。因为它们使用扩展名,因此您必须在浏览器中分别安装它们。
这些基于扩展的密码管理器比在您的Web浏览器中构建的密码管理器在某些方面更安全。基于浏览器的密码管理器倾向于使用您的浏览器访问凭据加密信息。恶意的InfoStealer软件可以窃取文件并在您已经登录时轻松解密它们。
基于浏览器扩展的密码管理器存储在内存中或计算机上的其他位置中加密保管库。他们在活动后自动锁定,而不是使用操作系统级加密,而是使用单独的主密码。但是,尽管他们有自己的好处,但没有什么完全安全的。
clickjacking的背部
在本月的DEFCON安全会议上,网络安全研究人员MarekTóth提出了一项攻击,可用于大多数基于浏览器的密码管理器。它使用恶意代码来操纵浏览器中站点的结构,从而改变其外观和行为方式。
提出了攻击tóth只是展示了攻击以突出漏洞,他将此功能用于新版本的旧攻击,称为clickjacking。它说服了受害者在网页上单击一件事,但随后使用该操作单击其他内容。
clickjacking