Користувачі Firefox на Mac і Windows отримали від Apple зручне розширення для роботи з iCloud-паролями. Воно дозволяє швидко використовувати збережені облікові дані без потреби відкривати окремий застосунок. Здавалося б, дрібна, але корисна деталь, яка робить життя простішим. Однак останні новини змушують подивитися на таку зручність критично: виявлена серйозна уразливість, яка може поставити під загрозу ваші особисті дані.
Що сталося?
За даними видання The Hacker News, дослідник з кібербезпеки Марек Тот (Marek Tóth) повідомив про нову уразливість у Document Object Model (DOM), яка відкриває шлях до атак на менеджери паролів. Суть проблеми полягає в тому, що зловмисники можуть використати техніки clickjacking (клікджекінг) або UI redressing для викрадення чутливих даних — від кредитних карток до облікових записів.
Clickjacking — це метод, коли користувачеві показують одну дію, але насправді він виконує зовсім іншу. Наприклад, натискаючи кнопку «Закрити вікно», людина може непомітно для себе підтвердити вхід у підроблений акаунт, де вже «працює» автозаповнення збережених паролів.
Чому це небезпечно?
Уразливість торкається кількох відомих менеджерів паролів:
-
iCloud Passwords (особливо версії 3.1.25 для Firefox),
-
LastPass,
-
Bitwarden.
Chrome використовує новішу версію iCloud Passwords (3.1.27), але проблема все одно лишається актуальною.
Сценарій атаки виглядає так: користувач заходить на підроблений сайт, де з’являється вікно-попап. Людина намагається його закрити, натискаючи у потрібне місце. Але замість закриття спрацьовує автозаповнення логіна й пароля, після чого дані непомітно пересилаються на сервер зловмисників. Фактично, жертва «допомагає» вкрасти власні дані одним кліком.
Чи тільки Apple має проблему?
Ні. Проблема ширша й зачіпає ринок у цілому. Раніше цього року вже повідомлялося про іншу уразливість у додатку Apple Passwords (на iPhone), коли дані можна було перехопити через незахищений HTTP-трафік. Тоді компанія швидко випустила патч в iOS 18.2.
Наразі:
-
Apple працює над виправленням у iCloud Passwords.
-
1Password пообіцяв у наступних оновленнях додати додаткові повідомлення для користувача під час автозаповнення.
-
Bitwarden вже викотив оновлення, що закриває вразливість.
Це означає, що проблема визнається на рівні індустрії і буде виправлена, але саме зараз користувачі залишаються у зоні ризику.
Що робити користувачам?
-
Будьте уважні до сайтів, які відвідуєте. Використовуйте лише перевірені ресурси та уникайте сумнівних посилань.
-
Стежте за оновленнями. Перевірте, чи встановлена у вас остання версія розширення iCloud Passwords або інших менеджерів паролів.
-
Вимкніть автозаповнення на підозрілих сайтах. Це зменшить ризик викрадення даних.
-
Використовуйте двофакторну автентифікацію. Навіть якщо ваш пароль потрапить у руки зловмисників, додатковий код чи апаратний ключ ускладнить злам.
-
Слідкуйте за новинами. Apple та інші компанії регулярно випускають оновлення безпеки, і важливо їх встановлювати одразу.
Висновок
Менеджери паролів стали незамінним інструментом у цифровому житті. Вони економлять час, підвищують безпеку та дозволяють не тримати сотні паролів у голові. Проте, як і будь-яке програмне забезпечення, вони не застраховані від уразливостей.
Історія з iCloud Passwords для Firefox ще раз нагадує: зручність не повинна переважати безпеку. Навіть великі компанії з мільярдними бюджетами на кіберзахист не завжди встигають випереджати хакерів. Тому користувачі мають дбати про власну обережність: оновлювати ПЗ, перевіряти сайти та застосовувати додаткові рівні захисту.
У світі, де атаки стають дедалі витонченішими, саме уважність і дисципліна користувачів залишаються найкращим щитом.
