Программа Proton Pass, предназначенная для хранения паролей, содержит уязвимость: она сохраняет незашифрованные логины и пароли прямо в RAM компьютера.
Более того, после блокировки хранилища, данные остаются в памяти, что предоставляет возможность их кражи с помощью специализированных вредоносных программ или лицами, имеющими прямой доступ к компьютеру.
Первооткрывателем этой проблемы стал Майк Кукец (Mike Kuketz) из Германии. Его беспокойство, высказанное на Reddit, привлекло внимание разработчиков из Proton AG, которые обещали выпустить исправление.
Тем не менее, несмотря на обновления менеджера паролей, уязвимость оставалась. Позже Кукец узнал, что такое поведение характерно для многих открытых менеджеров паролей, в том числе и для Bitwarden.
Для демонстрации проблемы на версии Proton Pass 1.6.1 для Chrome и Firefox Кукец предложил следующий порядок действий:
- Установить расширение и войти в аккаунт.
- В диспетчере задач развернуть процессы браузера.
- Создать дамп памяти процесса.
- Использовать HEX редактор для просмотра дампа.
- Искать логины и пароли с помощью функции поиска.
Интересно отметить, что в недавнем независимом аудите безопасности компания Cure53 уже обнаружила эту уязвимость ранее, и по их данным, она была устранена. Однако позже выяснилось, что проблема вновь появилась в программе.
Несмотря на то что реализация атаки требует специфических условий, возможность кражи данных вредоносным ПО не следует недооценивать. Пользователям Proton Pass следует оставаться настороже и своевременно устанавливать обновления.
Угрозы безопасности
• NVIDIA устранила уязвимости в драйверах графики, которые могли привести к утечке данных и компрометации системы
• Ботнет MikroTik использует уязвимость в DNS для распространения вирусов
• Контроллер USB-C для iPhone и его систему безопасности взломали – это могут использовать для джейлбрейка
• Microsoft: уязвимость macOS позволяет хакерам устанавливать вредоносные драйверы ядра
• Антивирусы становятся бесполезными? ИИ может генерировать 10 000 вариантов вредоносного ПО, избегая обнаружения в 88% случаев
• Apache устраняет обход уязвимости удаленного выполнения кода в веб-сервере Tomcat