Программа Proton Pass, предназначенная для хранения паролей, содержит уязвимость: она сохраняет незашифрованные логины и пароли прямо в RAM компьютера.
Более того, после блокировки хранилища, данные остаются в памяти, что предоставляет возможность их кражи с помощью специализированных вредоносных программ или лицами, имеющими прямой доступ к компьютеру.
Первооткрывателем этой проблемы стал Майк Кукец (Mike Kuketz) из Германии. Его беспокойство, высказанное на Reddit, привлекло внимание разработчиков из Proton AG, которые обещали выпустить исправление.
Тем не менее, несмотря на обновления менеджера паролей, уязвимость оставалась. Позже Кукец узнал, что такое поведение характерно для многих открытых менеджеров паролей, в том числе и для Bitwarden.
Для демонстрации проблемы на версии Proton Pass 1.6.1 для Chrome и Firefox Кукец предложил следующий порядок действий:
- Установить расширение и войти в аккаунт.
- В диспетчере задач развернуть процессы браузера.
- Создать дамп памяти процесса.
- Использовать HEX редактор для просмотра дампа.
- Искать логины и пароли с помощью функции поиска.
Интересно отметить, что в недавнем независимом аудите безопасности компания Cure53 уже обнаружила эту уязвимость ранее, и по их данным, она была устранена. Однако позже выяснилось, что проблема вновь появилась в программе.
Несмотря на то что реализация атаки требует специфических условий, возможность кражи данных вредоносным ПО не следует недооценивать. Пользователям Proton Pass следует оставаться настороже и своевременно устанавливать обновления.
Угрозы безопасности
• Разработчики Notepad++ подтвердили взлом серверов обновлений
• Злоумышленники распространяли вредоносное ПО через сервер обновлений антивируса eScan
• Сбой в pCloud: пользователи видят чужие папки в своих аккаунтах
• Уязвимость обхода путей в WinRAR активно используется множеством хакеров
• Новый MaaS-сервис Stanley обещает обход модерации Chrome Web Store для фишинговых расширений
• Пользователей LastPass атакуют фишинговыми письмами под видом техподдержки