Nová technika DOM clickjackingu ohrožuje rozšíření správců hesel
Nedávno představená metoda nazvaná DOM-based Extension Clickjacking ukazuje, že i oblíbená rozšíření do prohlížečů pro správu hesel lze zneužít ke krádeži citlivých dat. Český bezpečnostní výzkumník Marek Tóth tuto techniku prezentoval na konferenci DEF CON 33 v Las Vegas na začátku srpna. Ukázal, že jediným kliknutím na škodlivé stránce může útočník ze správce hesel získat uložené přihlašovací údaje, kódy dvoufaktorového ověření (TOTP), celé údaje platební karty a další chráněné údaje. Na media serveru DEF CONu naleznete nejen Tóthovu prezentaci, ale i videa, kde jsou zranitelnosti demonstrované.
Princip útoku vychází z klasického clickjackingu neboli tzv. UI redressingu, avšak cílí na prvky doplňků do prohlížečů. Útočník vloží do podvodné (případně kompromitované legitimní) stránky skript, který skryje reálné prvky uživatelského rozhraní správce hesel vložené do stránky (například panel automatického vyplňování). Docílí toho úpravou stylů – nastaví těmto prvkům úplnou průhlednost nebo je skryje jiným způsobem. Poté stránku překryje falešnými prvky, jako je například imitace banneru s cookies, přihlašovacího popup okna, výzvy CAPTCHA nebo povolení notifikací.
Tóth zdůraznil, že běžně musí uživatel kliknout jednou až třikrát, než se dostane ke chtěnému obsahu na webové stránce. Uživatel v domnění, že kliká na běžný obtěžující prvek (např. zavírá banner či dialog), ve skutečnosti aktivuje skrytý ovládací prvek správce hesel. Tím se nevědomky spustí automatické vyplnění formuláře citlivými údaji z trezoru hesel, které následně útočníkův skript odešle na vzdálený server.
Tóth tuto techniku otestoval na jedenácti populárních správcích hesel (mj. 1Password, Bitwarden, LastPass, Enpass, Apple iCloud Passwords, Dashlane, Keeper) a všechny vykazovaly zranitelnost alespoň vůči některé z variant útoku. Správci hesel navíc běžně vyplňují uložené údaje nejen na původní doméně webu, ale i na všech jejích subdoménách. Útočník tak může zneužít například XSS zranitelnost na libovolné subdoméně legitimního webu a jediným kliknutím tímto způsobem získat přihlašovací údaje uživatele včetně TOTP kódů. V některých případech údajně lze obdobně oklamat i nové přihlašování pomocí tzv. passkeys. Podle autora výzkumu byla touto metodou potenciálně ohrožena data desítek milionů uživatelů.
Zranitelnosti byly vývojářům správců hesel nahlášeny už v dubnu 2025 s plánem veřejného odhalení v srpnu. Někteří zareagovali včas a vydali bezpečnostní aktualizace – v průběhu července a začátkem srpna vyšla opravená verze například u Dashlane, Keeper, NordPass, Proton Pass či RoboForm. Bitwarden chybu opravil v srpnu ve verzi 2025.8.0. Další produkty však zůstávají bez záplaty ve svých aktuálních verzích – jmenovitě 1Password, LastPass, Enpass, Apple iCloud Passwords a LogMeOnce. Někteří z výrobců navíc zpočátku váhali: například 1Password reagoval, že clickjacking je obecný problém prohlížečů, který nelze plně vyřešit na straně rozšíření (oznámil, že místo opravy nabídne uživatelům volitelná potvrzení autofillu).
LastPass zase původně zařadil nahlášený bug mezi „pouze informativní“, ačkoli připustil nutnost posílit ochranu (už dříve zavedl např. potvrzovací dialog před automatickým vyplněním údajů platební karty). Do vydání oficiálních záplat proto výzkumník doporučuje vypnout automatické vyplňování hesel a dalších citlivých údajů a používat ruční kopírování či vkládání. Uživatelé prohlížečů na bázi Chromia si také mohou v nastavení rozšíření upravit tzv. Site Access tak, aby správce hesel běžel pouze na vyžádání (kliknutím) – tím zamezí nepovšimnutému spouštění rozšíření na zákeřných stránkách.
Srpnová aktualizace Windows rozbila obnovu systému
Srpnové bezpečnostní záplaty pro Windows 10 a 11 způsobily závažný problém – přestaly fungovat vestavěné funkce pro resetování a obnovu systému. Po instalaci těchto aktualizací selhávaly pokusy o reinstalaci Windows pomocí volby resetování počítače nebo prostřednictvím cloudové obnovy z Windows Update. Uživatel, který se snažil obnovit systém či uvést PC do továrního nastavení, narazil na chybu a Windows se nakonec vrátil do původního stavu bez provedení obnovy. Chyba postihla širokou škálu podporovaných verzí Windows 10 i 11 (vyjma nejnovější edice Win 11 24H2) a nevyhnula se ani podnikové funkci Remote Wipe pro vzdálené vymazání/reset zařízení v nástrojích jako Microsoft Intune.
Nefunkční reset a recovery představuje vážný problém pro uživatele i administrátory. Běžní uživatelé nemohli v případě potíží přeinstalovat Windows se zachováním svých souborů ani obnovit počítač – každý pokus o reset či obnovu skončil neúspěchem. Pokud byl systém například poškozen malwarem nebo aktualizací, uživatel zůstal bez snadné možnosti nápravy a musel by sáhnout po ruční reinstalaci z externího média. V podnikových prostředích zase administrátoři přišli o možnost vzdáleně smazat či přeinstalovat zařízení (například před předáním jinému zaměstnanci nebo při ztrátě notebooku), což zkomplikovalo správu a zvýšilo bezpečnostní rizika. Žádné dočasné řešení či workaround neexistoval – nezbylo než odložit resetování a čekat na opravu ze strany Microsoftu.
Microsoft na problém zareagoval rychle. 18. srpna oficiálně potvrdil na svém portálu release health existenci této chyby a už 19. srpna vydal mimořádnou opravnou aktualizaci (tzv. out-of-band patch), která vrací funkce resetu a obnovy do provozu. Oprava byla vydána jako kumulativní update pro všechny dotčené verze Windows 10 a 11 a nahrazuje původní chybnou srpnovou záplatu. Microsoft administrátorům doporučil, aby na systémy, kde dosud srpnové aktualizace nebyly aplikovány, nasadili přímo tuto opravu (vynechali původní balíček). U zařízení, která se s popisovaným problémem nesetkala, je instalace mimořádné záplaty volitelná. Díky tomuto rychlému zásahu by měly být nástroje pro reset a obnovu systému opět plně funkční ještě před vydáním následující pravidelné záplaty.
Únik dat u Allianz Life zasáhl přes milion klientů
Koncem července došlo k rozsáhlému hackerskému útoku na americkou pojišťovnu Allianz Life. Útočníci se dostali do cloudového systému pro správu zákazníků (Salesforce) a odcizili osobní údaje většiny z klientů Allianz Life v USA (odhadem kolem 1,1 milionu osob). Podle zjištění stojí za útokem skupina ShinyHunters, která ve spolupráci se skupinou Scattered Spider využila propracovaný telefonní phishing (vishing) k obelstění zaměstnanců a získání přístupu do CRM systému. Díky tomu mohli hackeři kompletně exfiltrovat veškerá uložená data.
Ukradená databáze údajně obsahuje kolem 2,8 milionu záznamů. Ty zahrnují jména zákazníků, poštovní i e-mailové adresy, telefonní čísla, data narození a v některých případech také čísla daňových identifikátorů či informace o spolupracujících finančních poradcích. Allianz Life incident nahlásila americkým úřadům a postiženým klientům nabídla dvouletý bezplatný monitoring identity a ochranu osobních údajů. Sama se však kvůli probíhajícímu vyšetřování zatím k incidentu blíže nevyjádřila.
Nová opatření PyPI proti útokům „domain resurrection“
Útok typu domain resurrection spočívá ve zneužití expirované domény e-mailové adresy správce open-source balíčku. Útočník koupí propadlou doménu, zprovozní na ní e-mailový server a následně pomocí odkazu pro obnovení hesla získá kontrolu nad účtem původního vývojáře v repozitáři (např. na PyPI). To představuje vážné riziko pro open-source ekosystém – pokud se útočník zmocní opuštěného populárního balíčku, může do něj propašovat škodlivý kód, který se pak nepozorovaně dostane k mnoha uživatelům.
Repozitář PyPI nyní proti těmto útokům zavedl nová bezpečnostní opatření. Od června 2025 průběžně sleduje expiraci domén spojených s e-mailovými adresami uživatelů a zjistí-li, že platnost domény vypršela, označí příslušný e-mailový kontakt za neověřený. Takovému účtu pak nelze zaslat odkaz pro reset hesla, čímž se zamezí jeho převzetí útočníkem. PyPI uvádí, že tímto způsobem již zneplatnil ověření u více než 1800 účtů.
Kromě toho projekt vyžaduje dvoufaktorovou autentizaci (2FA) u nových či aktivních účtů a správcům balíčků doporučuje přidat k profilu druhou ověřenou e-mailovou adresu z důvěryhodné veřejné domény (např. Gmail). Tato prevence výrazně snižuje riziko únosu opuštěných balíčků a vývojáři by měli dbát na aktuálnost svých kontaktních údajů i zabezpečení účtu, aby snížili riziko zneužití svých balíčků.
Chat Control v EU opět na stole
Evropská unie momentálně projednává návrh nařízení o prevenci a boji proti pohlavnímu zneužívání dětí (CSA), který kritici přezdívají „Chat Control“. Jde o iniciativu Evropské komise z roku 2022, jež by v případě schválení zavedla povinné automatické skenování veškerých soukromých elektronických komunikací uživatelů – včetně zpráv chráněných koncovým šifrováním – za účelem odhalování dětské pornografie. Toto opatření, vyvolávající spory, se nyní znovu dostává do popředí zájmu díky iniciativě Dánska, které od 1. července předsedá Radě EU a za jednu z hlavních priorit svého programu si určilo právě prosazení tohoto návrhu.
V Kodani zaznívá argument, že vyšetřovatelé potřebují odpovídající nástroje včetně přístupu k datům, aby mohli účinně stíhat trestné činy sexuálního zneužívání dětí, a dánský ministr spravedlnosti se například veřejně ptal, zda je důležitější soukromí potenciálních pachatelů, nebo ochrana tisíců dětí, přičemž vyzval k hledání kompromisu. Podle plánu dánského předsednictví se má o tomto návrhu hlasovat v Radě EU 14. října. Zároveň je však nutné zmínit, že veřejná konzultace Evropské komise odhalila značný odpor veřejnosti – více než 80 % respondentů se vyslovilo proti zavedení plošného kontrolování online komunikace.
Zastánci navrhovaného nařízení (včetně Evropské komise a některých států v čele s Dánskem) tvrdí, že takové opatření je nezbytné k efektivnímu omezení šíření dětské pornografie na internetu a lepší ochraně dětí; poukazují přitom na to, že pachatelé mohou zneužívat šifrované komunikační platformy k ukrývání nezákonného obsahu, takže bez nových nástrojů zůstávají vyšetřovatelé prakticky bezmocní.
Kritici naopak varují, že plošné sledování soukromých zpráv všech uživatelů by představovalo nepřijatelný zásah do soukromí a oslabilo by koncové šifrování i celkovou kybernetickou bezpečnost – nemluvě o rozporu s evropským právem na ochranu soukromí. Podobné stanovisko vyjádřila i právní služba Rady EU, která návrh označila za neslučitelný se základními právy. Z členských států se zatím otevřeně proti plošnému skenování postavily jen Polsko, Nizozemsko a Rakousko, zatímco klíčové země jako Německo a Francie váhají a nepřiklonily se dosud na žádnou stranu.
Výhrady dává najevo i Evropský parlament, takže i v případě schválení nařízení Radou EU lze očekávat složitá vyjednávání o jeho finální podobě. Debata v zásadě hledá rovnováhu mezi zájmem na ochraně dětí a zachováním soukromí v online prostředí.
Pokud někdo s navrhovanou regulací nesouhlasí a chtěl by proti ní zakročit, může navštívit stránku FightChatControl.eu, která poskytuje informace o možnostech občanského zapojení proti tomuto návrhu.
McHack – nugetky jako vstupenka do interních systémů
Co udělá bezpečnostní výzkumník pro pár nugetek zdarma? V případě McDonald's i zdánlivě banální chyba v odměnové aplikaci vedla k odhalení celé série vážných nedostatků v interních systémech firmy. Vše začalo tak, že mobilní aplikace pro rozvoz kontrolovala věrnostní body jen na straně klienta, takže s trochou šikovnosti šlo objednat jídlo zadarmo. Výzkumnice s přezdívkou BobDaHacker tuhle skulinu využila a po nahlášení se pustila do zkoumání dalších firemních portálů – a odhalila celou řadu bezpečnostních problémů.
Marketingový portál „Feel-Good Design Hub“ byl původně „chráněn“ jen heslem na straně klienta, ověřovaném v prohlížeči. Po upozornění sice McDonald’s zavedl regulérní účty, ale stačilo v URL zaměnit login za register a kdokoliv si mohl vytvořit přístup do Design Hubu. Nové heslo systém navíc rozesílal e-mailem v plaintextu a v Javascript kódu stránky zůstaly viditelné interní API klíče, které umožňovaly vypsání seznamu uživatelů a zasílání phishingu skrz infrastrukturu McDonald's.
Další interní portál kvůli chybné autentizaci umožňoval i řadovým zaměstnancům nahlížet do neveřejných sekcí určených pro vedení firmy a dokonce i do emailů, jiný zase postrádal jakékoliv ověření administrátorských práv, čímž umožnil komukoliv modifikovat kód portálu.
Reakce společnosti na chyby byla rozpačitá. McDonald’s neměl žádný oficiální kanál pro nahlášení zranitelností a k odpovědným lidem si výzkumnice musela doslova protelefonovat cestu. Zpočátku firma na hlášené problémy nespěchala – dokud nevyšlo najevo, že skrze prvotní chybu si mohou útočníci objednávat jídlo zadarmo. Oprava byla vydaná obratem. Ostatní záplaty ale trvaly měsíce a mnohdy byly nedotažené, takže zůstávala otevřená zadní vrátka. Společnost si neudržela ani nově zřízený bezpečnostní kontakt – soubor security.txt po krátké době opět zmizel a dodnes chybí jasný proces pro oznamování zranitelností.
Epizoda navazuje na únik 64 milionů osobních údajů uchazečů skrz AI náborového chatbota před měsícem. Bot používal administrátorské heslo „123456“. Celá situace tak ukazuje, že bezpečnostní kultura McDonald’s má značné rezervy.
Ve zkratce
- Apple opravil aktivně zneužívanou zero-day zranitelnost CVE-2025–43300 v iOS, iPadOS a macOS.
- Severní Korea využívá GitHub k vedení spear-phishingových kampaní proti diplomatickým cílům.
- Nový RAT GodRAT cílí na obchodní firmy prostřednictvím škodlivých dokumentů šířených přes Skype.
- Zvěřejněný exploit zranitelností SAP NetWeaver umožňuje vzdálené spuštění kódu.
- Britská vláda stáhla požadavek na implementaci zadních vrátek do šifrování Apple iCloudu.
- Chrome a Firefox vydaly záplaty na vysoce závažné zranitelnosti.
- Útočník tvrdí, že zveřejnil 15,8 milionu přihlašovacích údajů PayPal, společnost únik popírá.
- Rozšíření FreeVPN.One pro Chrome bylo odhaleno jako spyware se schopností pořizovat snímky obrazovky.
Pro pobavení
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
