Postřehy z bezpečnosti: zDOMinované správce hesel a kuřecí nugetky zdarma

Podíváme se na DOM-based Clickjacking v rozšířeních správců hesel a na nečekanou chybu funkce obnovení systému Windows. Dále probereme masivní únik dat z Allianz Life, ochranu PyPI proti útokům domain resurrection. Nedávno představená metoda nazvaná DOM-based Extension Clickjacking ukazuje, že i oblíbená rozšíření do prohlížečů pro správu hesel lze zneužít ke krádeži citlivých dat. Český bezpečnostní výzkumník Marek Tóth tuto techniku prezentoval na konferenci DEF CON 33 v Las Vegas na začátku srpna. Ukázal, že jediným kliknutím na škodlivé stránce může útočník ze správce hesel získat uložené přihlašovací údaje, kódy dvoufaktorového ověření (TOTP), celé údaje platební karty a další chráněné údaje. Na media serveru DEF CONu naleznete nejen Tóthovu prezentaci, ale i videa, kde jsou zranitelnosti demonstrované.