パスワードマネージャへのクリックジャッキング攻撃に対して、いま私たちが出来ること

こんにちは、TRUSTDOCKのよもぎたです。GASでSlackbot作ってるおじさん化が激しい最近の私ですが、本来の所属は情報セキュリティ部です。たまにはそれっぽい記事も書いてみたいと思います。 概要 この記事は、こちらのツイートで話題の「1PasswordやBitwardenやiCloud等のパスワードマネージャーへのクリックジャッキング攻撃」について、いま私たちが出来ること、私が理解できたことをまとめた記事です。

[sgo2]

id:circled コレはパスマネを騙して自動入力させ、パスマネがコンテンツに差し込んで表示してるダイアログをクリックジャッキングでユーザーに操作させるという手法なので、正規サイト側の問題じゃないです

[theatrical]

Firefoxは？と思ってソース見たら "Such a "hybrid" solution can be in manually control autofill functionality. Below are instructions for Chromium-based browsers only, I was unable to find this setting for Mozilla Firefox." とのこと

[pixmap]

これは変な広告で適当に飛ばされるような雑なサイトでもクリック一つで、気づかずに自分のクレジットカード情報が送信されうるという話。普段使ってる正規サイトの脆弱性とかの話じゃないのに、全然伝わってなさげ。

[circled]

「正規のサイト(ドメイン)の脆弱性(XSSやSubdomain takeover)を」→ オフィシャルサイトがサブドメイン設定やらかしてるとパスマネが正規サイトと勘違いして補完して脆弱になりやすいってのは正規の運用側の問題かと(id:sgo2)

[sato0427]

こんな設定あったのか。助かる。／↓野良プラグインが汚染されて仕込まれたらどんなサイトにでもレイヤー表示できてしまうので正規サイト側の問題は関係ないですよ。なので使わないプラグインの削除も大事。

[ikebukuro3]

決済画面でリロードすると不正なページ移動とかなるからな

[dodefeg]

Autofillと狭義のパスワード自動入力でXSS等を必要とするかどうかが変わるので受け止め側に混乱がある。AutofillはXSS等を必要としない。元サイトでもケースを分けて説明されている。ただ対策しておくに越したことはない。

[n2sz]

拡張機能は便利だけどこういうリスクもあるか…

[onesplat]

どうすんだよこれ

[kabuquery]

パスワードマネージャを開いてコピーしていれば問題なさそう

[hiro7373]

仕掛けられたサイト上でiFrameでパスワード抜きたいサイトが表示されると起こるみたいだが、CSPヘッダーやX-Frame-Optionsちゃんと設定されてたらiFeame表示できないから起こらない?機能拡張側もiFrameに対応しない設定作れば?

[tinsep19]

最終的にはWHATWGやパスワードマネージャー業界で人間に不可視のフィールドに入力補完してはいけない。とかになるのだろうか？

[punychan]

ブラウザ拡張じゃないブラウザ標準のパスワード保存・自動入力の場合は該当しないってこと？

[smeg]

話は違うがそもそもパスワードマネージャーの制作者が信頼できるかどうかってどうやって確かめたらいいの？

[diveintounlimit]

あり得る話だなとは思っていた

[ultimatebreak]

これは無理だ引っかかるわ

[kojikoji75]

“入力補助機能があるブラウザ拡張の設定を 「ブラウザ拡張のアイコンをクリックしたときのみ有効化する」設定 にすることをお勧めします”