Credit image: Dreamina
Kerentanan keamanan clickjacking telah ditemukan pada plugin manajer kata sandi populer untuk peramban web. Kerentanan ini dapat dieksploitasi untuk mencuri kredensial akun, kode otentikasi dua faktor (2FA), dan detail kartu kredit dalam kondisi tertentu.
Teknik ini dinamai DOM (Document Object Model)-based extension clickjacking oleh peneliti keamanan independen Marek Tóth pada konferensi keamanan DEF CON 33.
Menurutnya, satu klik saja di mana pun pada situs web yang dikendalikan penyerang dapat memungkinkan penyerang mencuri data pengguna. Teknik baru ini bersifat umum dan dapat diterapkan pada jenis ekstensi lain.
|
Baca juga: FBI Berikan Saran Cara Mengatasi Penipuan AI |
Cara Kerja Serangan Clickjacking
Clickjacking, atau UI redressing, adalah jenis serangan di mana pengguna tertipu untuk melakukan serangkaian tindakan yang tampak tidak berbahaya di sebuah situs web, seperti mengklik tombol, padahal sebenarnya mereka secara tidak sengaja melaksanakan perintah penyerang.
Teknik yang dijelaskan Tóth pada dasarnya melibatkan penggunaan skrip berbahaya untuk memanipulasi elemen UI yang disuntikkan oleh ekstensi peramban ke dalam DOM, misalnya, prompt auto-fill, dengan membuatnya tidak terlihat (transparan).
Penelitian ini secara khusus berfokus pada 11 add-on manajer kata sandi populer, mulai dari 1Password hingga iCloud Passwords. Semuanya ditemukan rentan terhadap DOM-based extension clickjacking. Secara kolektif, ekstensi ini memiliki jutaan pengguna.
Untuk melakukan serangan, penjahat siber membuat situs palsu dengan pop-up yang mengganggu, seperti layar masuk atau spanduk persetujuan cookie.
Mereka menyematkan formulir masuk yang tidak terlihat di bawah pop-up tersebut. Ketika korban mengklik situs untuk menutup pop-up, kredensial mereka secara otomatis terisi oleh manajer kata sandi dan dikirimkan ke server jarak jauh.
Tóth menjelaskan bahwa semua manajer kata sandi mengisi kredensial tidak hanya ke domain “utama”, tetapi juga ke semua subdomain. “Penyerang dapat dengan mudah menemukan kerentanan XSS atau lainnya dan mencuri kredensial yang disimpan pengguna dengan satu klik,” katanya.
|
Baca juga: Zero Click Backdoor RomCom Menyebar di Firefox dan Tor |
Tindakan yang Harus Diambil
Beberapa vendor telah diberitahu mengenai cacat ini, tetapi pada saat artikel ini ditulis, lima vendor belum merilis perbaikan:
- 1Password Password Manager 8.11.4.27
- Apple iCloud Passwords 3.1.25
- Enpass 6.11.6
- LastPass 4.146.3
- LogMeOnce 7.12.4
Hingga perbaikan tersedia, disarankan bagi pengguna untuk menonaktifkan fungsi auto-fill di manajer kata sandi mereka dan hanya menggunakan salin/tempel.
Untuk pengguna peramban berbasis Chromium, Tóth menyarankan untuk mengonfigurasi akses situs ke “on click” dalam pengaturan ekstensi. Konfigurasi ini memungkinkan pengguna mengontrol fungsionalitas auto-fill secara manual.
Baca artikel lainnya:
- Evolusi Serangan Phising
- SpyLoan Kelabui Jutaan Pengguna Android
- Operasi Malware Godloader Baru Menginfeksi 17.000 Sistem
- Musim Liburan Sekaligus Musim Penipuan
- Bootkitty Malware Khusus Linux
- Lumma Stealer Racuni Windows dan macOS
- Wolfsbane
- Asia harus Hati-hati HATVIBE dan CHERRYSPY Datang
- Ghost Tap Kuras Rekening dari Bank Payment
Sumber berita:
