Tag Archives: Freemindtronic Andorra

Clickjacking extensions DOM: Vulnerabilitat crítica a DEF CON 33

Cartell digital en català sobre el clickjacking d’extensions DOM amb PassCypher — contraatac sobirà Zero DOM

Resum Executiu

⮞ Nota de lectura

Si només voleu retenir l’essencial, el Resum Executiu (≈4 minuts) és suficient. Per a una visió completa i tècnica, continueu amb la lectura íntegra de la crònica (≈35 minuts).

⚡ El descobriment

Las Vegas, principis d’agost de 2025. El DEF CON 33 vibra al Centre de Convencions. Entre doms de hackers, pobles IoT, Adversary Village i competicions CTF, l’aire és dens de passió, insígnies i soldadures improvisades. A l’escenari, Marek Tóth no necessita artificis: connecta el portàtil, mira el públic i prem Enter. L’atac estrella: el Clickjacking d’extensions basat en DOM. Senzill de codificar, devastador d’executar: pàgina trampa, iframes invisibles, una crida focus() maliciosa… i els gestors d’autofill aboquen en pla usuaris, contrasenyes, TOTP i passkeys en un formulari fantasma.

✦ L’impacte immediat del Clickjacking d’extensions DOM

Resultat? Dels 11 gestors de contrasenyes analitzats, tots presenten vulnerabilitats estructurals per disseny davant el Clickjacking d’extensions basat en DOM, i 10 de 11 permeten efectivament l’exfiltració de credencials i secrets. Segons SecurityWeek, prop de 40 milions d’instal·lacions queden exposades. Fins i tot els wallets de criptomonedes filtren claus privades com una aixeta mal tancada, comprometent directament actius digitals.

⧉ Segona demostració ⟶ Exfiltració de passkeys amb overlay a DEF CON 33

Tot just després de la demostració de Marek Tóth, una segona demostració independent va posar al descobert una vulnerabilitat crítica en les passkeys suposadament «resistents al phishing». Tot i ser presentades com a inviolables, aquestes credencials van ser exfiltrades mitjançant una tècnica tan senzilla com letal: una superposició visual enganyosa i una redirecció manipulada. L’atac no depèn del DOM — explota la confiança de l’usuari en interfícies conegudes i validacions fetes per extensions del navegador. El resultat és clar: fins i tot les passkeys sincronitzades poden ser robades en entorns no sobirans. Analitzem aquesta tècnica en profunditat a la nostra crònica: Passkeys vulnerables a DEF CON 33. Fins i tot FIDO/WebAuthn cau en la trampa — com un gamer que accedeix massa ràpid a un fals portal de Steam, cedint les claus a una interfície controlada per l’atacant.

🚨 El missatge

En només dues demos, dos pilars de la ciberseguretat — gestors de contrasenyes i passkeys — s’ensorren del pedestal. El missatge és brutal: mentre els teus secrets visquin al DOM, mai no estaran segurs. I mentre la ciberseguretat depengui del navegador i del núvol, un sol clic pot capgirar-ho tot. Com recorda OWASP, el clickjacking és un clàssic — però aquí és la capa d’extensions la que queda pulveritzada.

🔑 L’alternativa

Sabies que hi ha una altra via des de fa més de deu anys — una via que no passa pel DOM? Amb PassCypher HSM PGP, PassCypher NFC HSM i SeedNFC per a la custòdia de claus criptogràfiques en maquinari, els teus identificadors, contrasenyes i claus secretes TOTP/HOTP mai veuen el DOM. Es mantenen xifrats en HSM fora de línia — sigui amb autofill segur via sandbox d’URL o mostrats per entrada manual a l’app d’Android (NFC), sempre protegits per l’antiatac BITB. No és un pedaç, sinó una arquitectura patentada passwordless sobirana, descentralitzada, sense servidor ni base de dades, sense contrasenya mestra, que allibera la gestió de secrets de dependències centralitzades com FIDO/WebAuthn.

Crònica per llegir
Temps estimat de lectura: 35 minuts
Nivell de complexitat: Avançat / Expert
Especificitat lingüística: Lèxic sobirà — alta densitat tècnica
Llengües disponibles: CAT · EN · ES · FR
Accessibilitat: Optimitzat per a lectors de pantalla — ancoratges semàntics integrats
Tipus editorial: Crònica estratègica
Sobre l’autor: Text escrit per Jacques Gascuel, inventor i fundador de Freemindtronic®.
Especialista en tecnologies de seguretat sobirana, dissenya i patenta sistemes de maquinari per a la protecció de dades, la sobirania criptogràfica i les comunicacions segures.
La seva experiència cobreix el compliment dels estàndards ANSSI, NIS2, RGPD i SecNumCloud, així com la lluita contra les amenaces híbrides mitjançant arquitectures sobiranes by design.

TL;DR — Al DEF CON 33, 10 de 11 gestors de contrasenyes cauen davant el Clickjacking d’extensions basat en DOM.
Exfiltració: logins, TOTP, passkeys, claus criptogràfiques.
Tècniques: iframes invisibles, Shadow DOM, Browser-in-the-Browser.
Impacte: ~40M d’instal·lacions exposades, i encara ~32,7M vulnerables el 23 d’agost de 2025 per manca de pedaç.
Contramesura: PassCypher NFC/PGP i SeedNFC — secrets (TOTP, usuaris i contrasenyes, claus privades diverses (cripto, PGP, etc.)) en HSM fora del DOM, activació física, injecció segura via NFC, HID o canals RAM xifrats.
Principi: zero DOM, zero superfície d’atac.

Infographie en anglais montrant l’anatomie d’une attaque de clickjacking basée sur DOM avec page malveillante, iframe invisible et exfiltration de secrets à l’attaquant.

✪ Anatomia d’un atac de clickjacking d’extensions DOM: pàgina trampa, iframes ocults i secrets exfiltrats cap a l’atacant.

2025 Digital Security

Chrome V8 Zero-Day: CVE-2025-6554 Actively Exploited

2025 Digital Security

APT29 Exploits App Passwords to Bypass 2FA

2025 Digital Security

Signal Clone Breached: Critical Flaws in TeleMessage

2025 Digital Security

APT29 Spear-Phishing Europe: Stealthy Russian Espionage

2024 Digital Security

Why Encrypt SMS? FBI and CISA Recommendations

2025 Digital Security

APT44 QR Code Phishing: New Cyber Espionage Tactics

2023 Digital Security

WhatsApp Hacking: Prevention and Solutions

2024 Digital Security

BitLocker Security: Safeguarding Against Cyberattacks

2024 Digital Security

French Minister Phone Hack: Jean-Noël Barrot’s G7 Breach

2024 Digital Security

Cyberattack Exploits Backdoors: What You Need to Know

2021 Cyberculture Digital Security Phishing

Phishing Cyber victims caught between the hammer and the anvil

2024 Digital Security

Google Sheets Malware: The Voldemort Threat

2024 Articles Digital Security News

Russian Espionage Hacking Tools Revealed

2024 Digital Security Spying Technical News

Side-Channel Attacks via HDMI and AI: An Emerging Threat

2024 Digital Security Technical News

Apple M chip vulnerability: A Breach in Data Security

Digital Security Technical News

Brute Force Attacks: What They Are and How to Protect Yourself

2023 Digital Security

Predator Files: The Spyware Scandal That Shook the World

2023 Digital Security Phishing

BITB Attacks: How to Avoid Phishing by iFrame

2023 Digital Security

5Ghoul: 5G NR Attacks on Mobile Devices

2024 Cyberculture Digital Security

Russian Cyberattack Microsoft: An Unprecedented Threat

2024 Digital Security

Europol Data Breach: A Detailed Analysis

Digital Security EviToken Technology Technical News

EviCore NFC HSM Credit Cards Manager | Secure Your Standard and Contactless Credit Cards

2024 Cyberculture Digital Security News Training

Andorra National Cyberattack Simulation: A Global First in Cyber Defense

Articles Digital Security EviVault Technology NFC HSM technology Technical News

EviVault NFC HSM vs Flipper Zero: The duel of an NFC HSM and a Pentester

Articles Cryptocurrency Digital Security Technical News

Securing IEO STO ICO IDO and INO: The Challenges and Solutions

Articles Cyberculture Digital Security Technical News

Protect Meta Account Identity Theft with EviPass and EviOTP

2024 DataShielder Digital Security PassCypher Phishing

Midnight Blizzard Cyberattack Against Microsoft and HPE: What are the consequences?

2024 Digital Security

Cybersecurity Breach at IMF: A Detailed Investigation

2023 Articles Cyberculture Digital Security Technical News

Strong Passwords in the Quantum Computing Era

2024 Digital Security

PrintListener: How to Betray Fingerprints

2021 Articles Cyberculture Digital Security EviPass EviPass NFC HSM technology EviPass Technology Technical News

766 trillion years to find 20-character code like a randomly generated password

2024 Articles Digital Security News Spying

How to protect yourself from stalkerware on any phone

2023 Articles DataShielder Digital Security Military spying News NFC HSM technology Spying

Pegasus: The cost of spying with one of the most powerful spyware in the world

2024 Digital Security Spying

Ivanti Zero-Day Flaws: Comprehensive Guide to Secure Your Systems Now

2024 Articles Compagny spying Digital Security Industrial spying Military spying News Spying Zero trust

KingsPawn A Spyware Targeting Civil Society

2024 Articles Digital Security EviKey NFC HSM EviPass News SSH

Terrapin attack: How to Protect Yourself from this New Threat to SSH Security

Articles Crypto Currency Cryptocurrency Digital Security EviPass Technology NFC HSM technology Phishing

Ledger Security Breaches from 2017 to 2023: How to Protect Yourself from Hackers

2024 Articles Digital Security News Phishing

Google OAuth2 security flaw: How to Protect Yourself from Hackers

Articles Digital Security EviCore NFC HSM Technology EviPass NFC HSM technology NFC HSM technology

TETRA Security Vulnerabilities: How to Protect Critical Infrastructures

2023 Articles DataShielder Digital Security EviCore NFC HSM Technology EviCypher NFC HSM EviCypher Technology NFC HSM technology

FormBook Malware: How to Protect Your Gmail and Other Data

Articles Digital Security

Chinese hackers Cisco routers: how to protect yourself?

Articles Crypto Currency Digital Security EviSeed EviVault Technology News

Enhancing Crypto Wallet Security: How EviSeed and EviVault Could Have Prevented the $41M Crypto Heist

Articles Digital Security News

How to Recover and Protect Your SMS on Android

Articles Crypto Currency Digital Security News

Coinbase blockchain hack: How It Happened and How to Avoid It

Articles Compagny spying Digital Security Industrial spying Military spying Spying

Protect yourself from Pegasus spyware with EviCypher NFC HSM

Articles Digital Security EviCypher Technology

Protect US emails from Chinese hackers with EviCypher NFC HSM?

Articles Digital Security

What is Juice Jacking and How to Avoid It?

2023 Articles Cryptocurrency Digital Security NFC HSM technology Technologies

How BIP39 helps you create and restore your Bitcoin wallets

Articles Digital Security Phishing

Snake Malware: The Russian Spy Tool

Articles Cryptocurrency Digital Security Phishing

ViperSoftX How to avoid the malware that steals your passwords

Articles Digital Security Phishing

Kevin Mitnick’s Password Hacking with Hashtopolis

En ciberseguretat sobirana ↑ Aquesta crònica s’inscriu dins l’apartat Digital Security, en la continuïtat de les investigacions realitzades sobre exploits i contramesures de maquinari zero trust.

Punts Clau :

  • 11 gestors de contrasenyes vulnerables — identificadors, TOTP i passkeys exfiltrats mitjançant redressing del DOM.
  • Extensions de carteres criptogràfiques (MetaMask, Phantom, TrustWallet) exposades al mateix tipus d’atac.
  • Explotació amb un sol clic via iframes invisibles, Shadow DOM encapsulat i superposicions BITB.
  • El sandbox del navegador no és un santuari de confiança sobirana — BITB enganya la percepció de l’usuari.
  • Les solucions PassCypher NFC / HSM PGP i SeedNFC ofereixen fluxos de maquinari fora del DOM, ancorats en enclavaments amb kill-switch anti-BITB.
  • Una dècada de R&D en ciberseguretat sobirana ja havia anticipat aquest risc: contenidors segmentats AES-256, canals híbrids RAM NFC↔PGP i injecció segura HID constitueixen l’alternativa nativa.

Què és el Clickjacking d’extensions basat en DOM?

El Clickjacking d’extensions basat en DOM és una variant del clickjacking en què l’atacant manipula el Document Object Model (DOM) del navegador per segrestar la capa de confiança de les extensions. A diferència del clickjacking clàssic, no es limita a superposar una pàgina trampa: utilitza iframes invisibles i crides focus() per forçar les extensions a injectar credencials, codis TOTP o passkeys en un formulari ocult. El resultat: els secrets són exfiltrats directament del DOM sense que l’usuari se n’adoni.

⮞ Punt clau: Mentre els secrets passin pel DOM, continuaran vulnerables. Les contramesures de maquinari Zero DOM (PassCypher NFC HSM, PassCypher HSM PGP, SeedNFC) eliminen aquesta exposició mantenint els secrets xifrats fora de línia.

🚨 Senyal fort DEF CON 33 — Doble KO en directe

A Las Vegas, dues demos de xoc fan trontollar la confiança digital:

  • Extensions atrapadesMarek Tóth demostra que els gestors de contrasenyes i les carteres criptogràfiques poden ser forçats a lliurar identificadors, TOTP, passkeys i fins i tot claus privades, a través d’un simple clickjacking extensions DOM.
  • Passkeys en fallida — Difós per MENAFN / Yahoo Finance, una altra demo revela que les passkeys “phishing-resistant” cauen davant una superposició enganyosa. WebAuthn/FIDO vacil·la en directe.

Llegit estratègic: si els gestors de programari cauen i les passkeys s’ensorren,
la falla no és l’usuari, és l’arquitectura.
Les tecnologies patentades PassCypher NFC HSM, PassCypher HSM PGP i SeedNFC traslladen el combat fora del navegador:

  • Contenidors AES-256 CBC — voltes fora de línia, claus segmentades.
  • Injecció HID segura — via NFC o Bluetooth, sense exposició al DOM.
  • Canals RAM efímers — desxifrat volàtil, destrucció instantània.

En clar: PassCypher no és un gestor de contrasenyes, sinó una arquitectura passwordless sobirana. Quan FIDO/WebAuthn és enganyat, PassCypher es manté fora de perill — by design.

Història del Clickjacking (2002–2025)

El clickjacking és com un paràsit tossut del web modern. El terme apareix a inicis dels anys 2000, quan Jeremiah Grossman i Robert Hansen descriuen un escenari enganyós: empènyer un internauta a fer clic en alguna cosa que en realitat no veu. Una il·lusió òptica aplicada al codi, que ràpidament es va convertir en una tècnica d’atac imprescindible (OWASP).

  • 2002–2008 : emergència del “UI redressing”: capes HTML + iframes transparents atrapant l’usuari (Hansen Archive).
  • 2009 : Facebook víctima del Likejacking (OWASP).
  • 2010 : aparició del Cursorjacking: desplaçament del punter per enganyar el clic (OWASP).
  • 2012–2015 : explotació mitjançant iframes, publicitat i malvertising (MITRE CVE) (Infosec)
  • 2016–2019 : el tapjacking s’estén en mòbil (Android Security Bulletin).
  • 2020–2024 : auge del “hybrid clickjacking” que barreja XSS i phishing (OWASP WSTG).
  • 2025 : al DEF CON 33, Marek Tóth revela un nou nivell: clickjacking extensions DOM (DEF CON Archive). Ja no són només els llocs web, sinó les extensions del navegador (gestors de contrasenyes, carteres) les que injecten formularis invisibles.

Avui, la història del clickjacking fa un tomb: ja no és només una farsa gràfica, sinó una falla estructural dels navegadors i de les seves extensions. Els gestors testats — 1Password, Bitwarden, iCloud Keychain, LastPass — apareixen vulnerables (Bitwarden Release Notes).

Al DEF CON 33, es va revelar públicament el clickjacking d’extensions DOM, marcant un canvi estructural: de l’engany visual a una debilitat sistèmica que afecta els gestors de contrasenyes i les carteres de criptomonedes.

❓Des de quan estàveu exposats?

Els gestors de programari tenien tots els senyals d’alerta.
L’OWASP parla de clickjacking des del 2002, els iframes invisibles estan documentats des de fa més de 15 anys, i el Shadow DOM no és cap secret esotèric.
En resum, tothom ho sabia.
I, malgrat això, la majoria va continuar construint el seu castell de sorra sobre l’autofill DOM. Per què? Perquè quedava bé a les diapositives de màrqueting: UX fluid, clic màgic, adopció massiva… i la seguretat com a opció.

El clickjacking extensions DOM mostrat al DEF CON 33 no és, doncs, cap revelació de 2025.
És l’epíleg d’un error de disseny de més d’una dècada.
Cada extensió que ha “confiat en el DOM” per injectar els vostres logins, TOTP o passkeys ja era vulnerable.

⮞ Reflexió crítica: quant de temps han estat explotades en silenci?

La veritable pregunta que caldria fer-se és: durant quant de temps aquestes vulnerabilitats han estat explotades en silenci per atacants discrets — espionatge dirigit, robatori d’identitat, sifonatge de wallets i criptomonedes?

Mentre els gestors de contrasenyes basats en programari miraven cap a una altra banda, PassCypher i SeedNFC de Freemindtronic Andorra van optar per una altra via.
Pensats fora del DOM, fora del núvol i sense contrasenya mestra, demostren que una alternativa sobirana ja existia: la seguretat by design.

Resultat: una dècada de vulnerabilitat silenciosa per a uns, i una dècada d’avantatge tecnològica per a aquells que van apostar pel hardware sobirà.

Síntesi:
En 20 anys, el clickjacking ha passat de ser una simple il·lusió visual a un sabotatge sistèmic dels gestors d’identitat. El DEF CON 33 marca un punt d’inflexió: l’amenaça ja no és només el lloc web, sinó el cor de les extensions i de l’autofill DOM. D’aquí la urgència d’adoptar enfocaments fora del DOM, arrelats en el maquinari sobirà com PassCypher.

Clickjacking extensions DOM — Anatomia de l’atac

El clickjacking extensions DOM no és una variant trivial: desvia la lògica mateixa dels gestors d’autofill. Aquí, l’atacant no es limita a recobrir un botó amb una iframe; força l’extensió a omplir un formulari fals com si fos legítim.

Esquema de clickjacking d'extensions DOM en tres fases: Preparació, Esquer i Exfiltració amb extensió d’autocompleció vulnerada
Esquema visual del clickjacking d’extensions DOM: una pàgina maliciosa amb iframe invisible (Preparació), un element Shadow com a esquer (Esquer) i l’exfiltració d’identificadors, TOTP i claus a través de l’extensió d’autocompleció (Exfiltració).

Desplegament típic d’un atac:

  1. Preparació — La pàgina trampa carrega una iframe invisible i un Shadow DOM que oculta el context real.
  2. Esquer — L’usuari fa clic en un element aparentment innocu; una crida focus() redirigeix l’esdeveniment cap al camp invisible controlat per l’atacant.
  3. Exfiltració — L’extensió creu interactuar amb un camp legítim i injecta identificadors, TOTP, passkeys i fins i tot claus privades directament dins del fals DOM.

Aquesta mecànica distorsiona els senyals visuals, esquiva les defenses clàssiques (X-Frame-Options, CSP, frame-ancestors) i transforma l’autofill en un canal d’exfiltració invisible. A diferència del clickjacking “tradicional”, l’usuari no fa clic en un lloc de tercers: és la seva pròpia extensió la que queda atrapada per la seva confiança en el DOM.

⮞ Resum

L’atac combina iframes invisibles, Shadow DOM i focus() per atrapar els gestors d’autofill. Els gestors de contrasenyes injecten els seus secrets no pas al lloc previst, sinó en un formulari fantasma, oferint a l’atacant accés directe a dades sensibles.

Gestors de contrasenyes vulnerables

Segons les proves en viu realitzades per Marek Tóth al DEF CON 33, la majoria de gestors de contrasenyes continuen exposats estructuralment al clickjacking d’extensions DOM.

Dels 11 gestors avaluats, 10 filtren credencials, 9 filtren codis TOTP i 8 exposen passkeys.

En resum: fins i tot el gestor més popular pot convertir-se en un colador si delega els secrets al DOM.

  • Encara vulnerables: 1Password, LastPass, iCloud Passwords, LogMeOnce
  • Ja corregits: Bitwarden, Dashlane, NordPass, ProtonPass, RoboForm, Enpass, Keeper (correcció parcial)
  • Correccions en curs: Bitwarden, Enpass, iCloud Passwords
  • Classificats com “informatius” (sense patch previst): 1Password, LastPass

Taula d’estat (actualitzada el 27 d’agost de 2025)

Gestor Credencials TOTP Passkeys Estat Patch oficial
1Password Yes Yes Yes Vulnerable
Bitwarden Yes Yes Partial Corregit (v2025.8.0) Release
Dashlane Yes Yes Yes Corregit Release
LastPass Yes Yes Yes Vulnerable
Enpass Yes Yes Yes Corregit (v6.11.6) Release
iCloud Passwords Yes No Yes Vulnerable
LogMeOnce Yes No Yes Vulnerable
NordPass Yes Yes Partial Corregit Release
ProtonPass Yes Yes Partial Corregit Releases
RoboForm Yes Yes Yes Corregit Update
Keeper Partial No No En revisió (v17.2.0) MencióPunt clau
⮞ Punt clau: fins i tot amb patchs ràpids, la lògica subjacent continua sent vulnerable: mentre els secrets transiten pel DOM, poden ser interceptats.
En canvi, les solucions basades en maquinari com PassCypher HSM PGP, PassCypher NFC HSM i SeedNFC eliminen l’amenaça per disseny: cap credencial, contrasenya, codi TOTP/HOTP ni clau privada toca el navegador.
Zero DOM, zero superfície d’atac.

Divulgació CVE i resposta dels editors (agost–setembre 2025)

El descobriment de Marek Tóth a DEF CON 33 no va poder quedar ocult: les vulnerabilitats de clickjacking extensions DOM ja estan rebent referències CVE oficials. Com passa sovint en la divulgació de vulnerabilitats, el procés és lent. Diverses falles van ser notificades a la primavera de 2025, però a mitjans d’agost, alguns editors encara no havien publicat cap correcció oficial.

Respostes dels editors i cronologia de correccions:

  • Bitwarden — va reaccionar ràpidament amb el patch v2025.8.0 (agost 2025), mitigant la fuga de TOTP i credencials.
  • Dashlane — va publicar una correcció (v6.2531.1, a principis d’agost 2025), confirmada en les notes oficials.
  • RoboForm — va desplegar correccions entre juliol i agost 2025 per a Windows i macOS.
  • NordPass i ProtonPass — van anunciar actualitzacions oficials a l’agost 2025, mitigant parcialment l’exfiltració via DOM.
  • Keeper — va reconèixer l’impacte però continua en estat “en revisió”, sense patch confirmat.
  • 1Password, LastPass, Enpass, iCloud Passwords, LogMeOnce — encara sense correcció a principis de setembre 2025, deixant exposats milions d’usuaris.

El problema no és només el retard en les correccions, sinó també la manera com alguns editors han minimitzat la gravetat.
Segons les divulgacions de seguretat, alguns proveïdors van etiquetar inicialment la vulnerabilitat com a “informativa”, reduint-ne la importància.
En altres paraules: la fuga era reconeguda, però es va relegar a una zona grisa fins que la pressió mediàtica i comunitària va forçar una resposta.

⮞ Resum

Les CVE relacionades amb el clickjacking extensions DOM encara estan en procés.
Mentre editors com Bitwarden, Dashlane, NordPass, ProtonPass i RoboForm han publicat correccions oficials entre agost i setembre 2025,
altres (1Password, LastPass, Enpass, iCloud Passwords, LogMeOnce) acumulen un retard crític, exposant milions d’usuaris.
Algunes empreses han preferit el silenci a la transparència, tractant una falla estructural com un incident menor fins que han estat obligades a actuar.

Tecnologies de correcció utilitzades

Després de la divulgació pública del Clickjacking d’extensions DOM al DEF CON 33, els editors van reaccionar ràpidament amb pegats. Tot i això, aquestes correccions són desiguals i es limiten sobretot a ajustos d’interfície o comprovacions condicionals. Cap editor ha redissenyat encara el motor d’injecció.

Abans d’analitzar els mètodes concrets, observem una visió general de les tecnologies de correcció aplicades pels editors. Aquesta imatge resumeix els enfocaments més comuns i les seves limitacions.

Infografia sobre les defenses contra el clickjacking d’extensions DOM: X-Frame-Options, CSP, retards d’autofill i diàlegs flotants.
Quatre mètodes de correcció contra el clickjacking d’extensions DOM: des de polítiques de seguretat fins a estratègies.

Objectiu

Aquesta secció explica com els editors han intentat corregir la falla, distingint entre pegats cosmètics i correccions estructurals, i destacant els enfocaments sobirans Zero DOM.

Mètodes de correcció observats (agost 2025)

Mètode Descripció Gestors afectats
Restricció d’autofill Canvi a mode “on-click” o desactivació per defecte Bitwarden, Dashlane, Keeper
Filtratge de subdominis Bloqueig de l’autofill en subdominis no autoritzats ProtonPass, RoboForm
Detecció de Shadow DOM Refús d’injecció si el camp està encapsulat en Shadow DOM NordPass, Enpass
Aïllament contextual Comprovacions abans d’injectar (iframe, opacitat, focus) Bitwarden, ProtonPass
Sobirania de maquinari (Zero DOM) Els secrets no transiten mai pel DOM: NFC HSM, HSM PGP, SeedNFC PassCypher, EviKey, SeedNFC (no vulnerables per disseny)

📉 Límits observats

  • Els pegats no han modificat el motor d’injecció, només els seus desencadenants.
  • Cap editor ha introduït una separació estructural entre la interfície i els fluxos de secrets.
  • Qualsevol gestor que encara depengui del DOM continua exposat estructuralment a variants de clickjacking.
⮞ Transició estratègica
Aquests pegats mostren reacció, no ruptura. Tracten els símptomes, però no la falla estructural.
Per entendre què diferencia un pegat temporal d’una correcció doctrinal, cal passar a l’anàlisi següent.

Anàlisi tècnica i doctrinal de les tecnologies de correcció

Tot i que els pegats desplegats mostren una resposta ràpida, el seu abast és reactiu i incomplet.

  • Limitacions estructurals — Les CSP i X-Frame-Options poden ser esquivades amb iframes invisibles o Shadow DOM encapsulat.
  • Persistència del risc — L’autofill continua depenent del DOM, i per tant exposa credencials i TOTP.
  • Doctrina Zero Trust — La dependència en pegats incrementals no garanteix una protecció sobirana ni duradora.

Comparativa de les tecnologies de correcció

Tipus de correcció Exemple de mecanisme Limitacions / Observacions
Pegats d’interfície Restricció d’autofill (on-click, subdominis autoritzats) Millora UX controlada però el motor d’injecció DOM continua actiu
Aïllament parcial Shadow DOM detection, iframes check Es pot esquivar amb tècniques avançades de redressing i manipulació d’opacitat
Correcció reactiva Notes de seguretat + bloqueig puntual Redueix vectors immediats però no aborda la falla estructural
Arquitectura Zero DOM Secrets en HSM (PassCypher NFC HSM, PassCypher HSM PGP, SeedNFC) Elimina la superfície d’atac: cap secret toca el DOM, res a clickjackejar

⮞ Síntesi estratègica

Els pegats dels editors són mesures cosmètiques que alleugen però no resolen.
Només el canvi de doctrina amb arquitectures Zero DOM garanteix una resiliència duradora contra clickjacking i atacs BITB.

Riscos sistèmics i vectors d’explotació

El clickjacking extensions DOM no és un bug aïllat: és una bretxa sistèmica. Quan una extensió cedeix, no és només una contrasenya la que es filtra — és tot un model de confiança digital que implosiona.

Escenaris crítics:

  • Accés persistent — Un TOTP clonat és suficient per registrar un dispositiu “de confiança” i mantenir el control, fins i tot després de la reinicialització del compte.
  • Repetició de passkeys — L’exfiltració d’una passkey equival a un token mestre reutilitzable fora de control. El Zero Trust esdevé un mite.
  • Compromís SSO — Una extensió atrapada dins l’empresa = fuga de tokens OAuth/SAML, comprometent tot el SI.
  • Cadena de subministrament — Les extensions, mal regulades, esdevenen una superfície d’atac estructural per als navegadors.
  • Crypto-actius — Els wallets (MetaMask, Phantom, TrustWallet) reutilitzen el DOM per injectar claus: seed phrases i claus privades aspirades com si fossin credencials.

Impacte per a empreses i administracions (NIS2 / RGPD)

Compromís SSO, vectors d’exfiltració monetària i cadena de subministrament: prioritats de mitigació Zero DOM.

⮞ Resum

Els riscos van més enllà del simple robatori de contrasenyes: TOTP clonats, passkeys reutilitzades, SSO compromès, seed phrases aspirades. Mentre el DOM continuï sent la interfície de l’autofill, també serà la interfície de l’exfiltració.

Comparativa de l’amenaça sobirana

Atac Objectiu Secrets exposats Contramesura sobirana
ToolShell RCE SharePoint / OAuth Certificats SSL, tokens SSO PassCypher HSM PGP (emmagatzematge + signatura fora del DOM)
Segrest eSIM Identitat mòbil Perfils d’operadors, SIM integrada SeedNFC HSM (anclatge de maquinari de les identitats mòbils)
DOM Clickjacking Extensions de navegadors Credencials, TOTP, passkeys PassCypher NFC HSM + PassCypher HSM PGP (OTP segurs, autoemplenat sandbox, anti-BITB)
Segrest de crypto-wallet Extensions de wallets Claus privades, seed phrases SeedNFC HSM + Enllaç NFC↔HID BLE (injecció de maquinari segura multi-suport)
Atomic Stealer Porta-retalls macOS Claus PGP, wallets cripto PassCypher NFC HSM ↔ HID BLE (canals xifrats, injecció sense clipboard)

Exposició Regional i Impacte Lingüístic — Espai Catalanoparlant

L’exposició al Clickjacking d’extensions DOM i al Browser-in-the-Browser (BITB) no és homogènia. A l’espai catalanoparlant — Andorra, Catalunya, País Valencià, Illes Balears i la Catalunya Nord — l’ús intensiu de gestors de contrasenyes i carteres cripto es combina amb una dependència creixent dels navegadors. El resultat: una superfície d’atac tangible que requereix contramesures Zero-DOM sobiranes.

🌍 Exposició estimada — Espai Catalanoparlant (Agost 2025)

Regió Població catalanoparlant Context digital Contramesures Zero-DOM
Catalunya (ES) ≈5.0 M parlants habituals Alta penetració d’internet i wallets PassCypher NFC HSM, HSM PGP
País Valencià (ES) ≈2.4 M parlants Creixent ús de gestors de contrasenyes SeedNFC, PassCypher HSM
Illes Balears (ES) ≈0.8 M parlants Alta connectivitat mòbil PassCypher NFC HSM
Andorra ≈79 000 residents (CAT oficial) Estratègia de sobirania digital Adopció primerenca Zero-DOM
Catalunya Nord (FR) ≈125 000 parlants Integració en marc francès ANSSI PassCypher HSM PGP

⮞ Lectura estratègica

L’espai catalanoparlant, amb més de 8.4 milions de parlants, mostra una combinació única: ecosistema europeu regulat (NIS2, GDPR) i un microestat (Andorra) que aposta clarament per la sobirania digital. Aquesta configuració en fa un camp de proves estratègic per a l’adopció de solucions Zero-DOM com PassCypher HSM PGP i SeedNFC, capaços d’eliminar completament la superfície d’atac DOM.

Fonts: Idescat (Catalunya), Generalitat Valenciana, Govern Balear, Estadística Andorra, Observatori de la Llengua.

Extensions de wallets cripto exposades

Els gestors de contrasenyes no són els únics que cauen al parany del clickjacking extensions DOM.
Els wallets cripto més estesos — MetaMask, Phantom, TrustWallet — es basen en el mateix principi d’injecció DOM per mostrar o signar transaccions.
Resultat: un overlay ben col·locat, una iframe invisible, i l’usuari creu validar una operació legítima… quan en realitat està signant una transferència maliciosa o revelant la seva seed phrase.

Implicació directa: a diferència de les credencials o TOTP, les filtracions aquí afecten actius financers immediats. Milers de milions de dòlars en liquiditat depenen d’aquestes extensions. El DOM es converteix així no només en un risc d’identitat, sinó també en un vector d’exfiltració monetària.

⮞ Resum

Les extensions de wallets cripto reutilitzen el DOM per interactuar amb l’usuari.
Aquesta decisió arquitectònica les exposa a les mateixes falles que els gestors de contrasenyes: seed phrases, claus privades i signatures de transaccions poden ser interceptades via redressing.

Contramesura sobirana: SeedNFC HSM — custòdia de maquinari de les claus privades i seed phrases, fora del DOM, amb injecció segura via NFC↔HID BLE.
Les claus no surten mai de l’HSM, l’usuari activa físicament cada operació, i el redressing DOM queda inoperant.
Com a complement, PassCypher HSM PGP i PassCypher NFC HSM protegeixen els OTP i credencials associats als comptes d’accés a plataformes, evitant així la compromissió lateral.

Sandbox vulnerable & Browser-in-the-Browser (BITB)

⮞ Il·lusions d’interfície: el sandbox no protegeix

Els navegadors sovint presenten el seu sandbox com una muralla inexpugnable, però a la pràctica, els atacs de clickjacking d’extensions DOM i Browser-in-the-Browser (BITB) demostren el contrari. Un simple overlay i un fals quadre d’autenticació poden convèncer l’usuari que interactua amb Google, Microsoft o el seu banc, mentre en realitat lliura les seves credencials a una pàgina fraudulenta. Ni frame-ancestors ni certes polítiques CSP aconsegueixen aturar aquestes il·lusions d’interfície.

És aquí on les tecnologies sobiranes canvien les regles del joc. Amb EviBITB (IRDR), Freemindtronic integra dins PassCypher HSM PGP un motor de detecció i destrucció d’iframes de redirecció, capaç de neutralitzar en temps real els intents de BITB. Activable amb un clic, disponible en mode manual, semi-automàtic o automàtic, funciona sense servidor, sense base de dades i actua de forma instantània. (guia tècnica · explicació pràctica)

La clau de volta és el Sandbox URL. Cada identificador o clau està vinculat a una URL de referència emmagatzemada dins del HSM xifrat. Quan una pàgina intenta un autoemplenament, la URL activa es compara amb la del HSM. Si no coincideixen, no s’injecta cap dada. Així, fins i tot si un iframe esquivés la detecció, el Sandbox URL bloqueja l’exfiltració.

⮞ Protecció estesa: de navegador a escriptori

Aquesta doble barrera s’estén també als usos en ordinador, gràcies a l’aparellament segur NFC entre un telèfon Android amb NFC i l’aplicació Freemindtronic que integra el gestor de contrasenyes sobirà PassCypher NFC HSM. En aquest context, l’usuari es beneficia de la protecció anti-BITB (EviBITB) en entorns d’escriptori: els secrets romanen xifrats dins del contenidor HSM PGP o del NFC HSM i només es desxifren durant uns mil·lisegons en memòria volàtil (RAM), just el temps necessari per a l’autoemplenament segur — sense transitar ni residir mai en el DOM.

En canvi, amb PassCypher HSM PGP en ordinador, l’usuari simplement fa clic en un botó integrat al camp d’identificació per activar l’autoemplenament. El secret es desxifra localment des del contenidor xifrat, també en RAM, però sense intervenció NFC i sense passar pel DOM.

⮞ Resum tècnic (EviBITB + Sandbox URL)

L’atac DOM-Based Extension Clickjacking explota superposicions CSS invisibles (opacity:0, pointer-events:none) per redirigir els clics cap a camps ocults injectats des del Shadow DOM. Amb EviBITB, aquests iframes i overlays es destrueixen en temps real, tallant el vector d’exfiltració. Paral·lelament, el Sandbox URL comprova que la destinació coincideixi amb la URL de referència emmagatzemada en el contenidor xifrat AES-256 CBC PGP. Si no coincideix, l’autoemplenament es bloqueja. Resultat: cap clic enganyós, cap injecció, cap filtració. Els secrets romanen fora del DOM, fins i tot en entorns desktop amb un NFC HSM aparellat a un Android NFC.

Il·lustració de la protecció anti-BitB i anti-clickjacking amb EviBITB i Sandbox URL integrats a PassCypher HSM PGP / NFC HSM
✪ Il·lustració – L’escut EviBITB i el cadenat Sandbox URL bloquegen l’exfiltració de credencials en un formulari manipulat per clickjacking.

⮞ Lideratge tècnic mundial

Avui dia, PassCypher HSM PGP, fins i tot en la seva versió gratuïta, continua sent l’única solució coneguda capaç de neutralitzar de manera efectiva els atacs Browser-in-the-Browser (BITB) i DOM-Based Extension Clickjacking.
Mentre altres gestors de contrasenyes (1Password, LastPass, Dashlane, Bitwarden, Proton Pass…) exposen els usuaris a superposicions invisibles i injeccions Shadow DOM, PassCypher s’articula sobre una doble barrera sobirana:

  • EviBITB, motor anti-iframe que destrueix en temps real els marcs de redirecció maliciosos (guia detallada · article explicatiu) ;
  • Sandbox URL, ancoratge dels identificadors a una URL de referència emmagatzemada en un contenidor xifrat AES-256 CBC PGP, que bloqueja qualsevol exfiltració en cas de discrepància.

Aquesta combinació situa Freemindtronic, des d’Andorra, en posició de pioner mundial: per a l’usuari final, la instal·lació de l’extensió gratuïta PassCypher HSM PGP ja eleva el nivell de seguretat més enllà dels estàndards actuals, en tots els navegadors Chromium.

Senyal estratègic DEF CON 33

Als passadissos carregats d’energia del DEF CON 33, no només parpellegen els badges: també ho fan les nostres certeses.
Entre una cervesa tèbia i un CTF frenètic, les converses convergeixen: el navegador ha deixat de ser una zona de confiança.

  • El DOM esdevé un camp de mines: ja no només allotja XSS bàsic, sinó les mateixes claus d’identitat — gestors, passkeys, wallets cripto.
  • La promesa «phishing-resistant» vacil·la: veure una passkey ser pescada en directe és com veure en Neo caure davant d’un script-kiddie.
  • Lentitud industrial: alguns publiquen pegats en 48h, altres es perden en comitès i comunicats. Resultat: milions d’usuaris resten exposats.
  • Doctrina Zero Trust reforçada: tot secret que toqui el DOM s’ha de considerar ja compromès.
  • Tornada al maquinari sobirà: davant d’un núvol que s’esquerda, les mirades es giren cap a solucions fora del DOM:
    PassCypher NFC HSM, PassCypher HSM PGP, SeedNFC per a la custòdia de claus cripto. Zero DOM, zero il·lusió.

⮞ Resum

DEF CON 33 envia un missatge clar: els navegadors ja no són bastions de protecció.
La sortida de la crisi no vindrà d’un pegat cosmètic, sinó de solucions basades en maquinari fora del navegador i fora de línia — on els secrets romanen xifrats, protegits i sota control d’accés sobirà.

Contramesures sobiranes (Zero DOM)

Els pegats correctius dels editors poden tranquil·litzar en el moment… però no canvien res del problema de fons: el DOM continua sent un colador.
L’única defensa duradora és retirar els secrets del seu abast.
Això és el que anomenem el principi Zero DOM: cap dada sensible no ha de residir, transitar o dependre del navegador.

Diagrama Zero DOM Flow que mostra el bloqueig de l’exfiltració DOM i la injecció segura amb HSM PGP / NFC HSM i Sandbox URL
Zero DOM Flow: els secrets romanen a l’HSM, injecció HID a la RAM efímera, exfiltració DOM impossible.

En aquest paradigma, els secrets (identificadors, TOTP, passkeys, claus privades) es conserven dins HSM de maquinari fora de línia.
L’accés només és possible mitjançant activació física (NFC, HID, aparellament segur) i deixa únicament una empremta efímera a la RAM.

⮞ Funcionament sobirà: NFC HSM, HID BLE i HSM PGP

Activació NFC HSM ↔ Android ↔ navegador:
En el cas del NFC HSM, l’activació no es fa mitjançant clic al telèfon, sinó per presentació física del mòdul NFC HSM sota un telèfon Android amb NFC.
L’aplicació Freemindtronic rep la petició des de l’ordinador aparellat (via PassCypher HSM PGP), activa el mòdul segur i transmet el secret xifrat sense contacte cap a l’ordinador.
Tot el procés és xifrat de cap a cap, i el desxifrat només s’executa en memòria volàtil (RAM), sense transitar ni residir mai en el DOM.

Activació NFC HSM ↔ HID BLE:
Quan l’aplicació Android NFC Freemindtronic està aparellada amb un emulador de teclat Bluetooth HID (com InputStick), pot injectar identificadors i contrasenyes directament en els camps de login, mitjançant un canal BLE xifrat amb AES-128 CBC.
Aquesta via permet un autoemplenament segur fora del DOM, fins i tot en ordinadors no aparellats via navegador, neutralitzant keyloggers i atacs d’injecció DOM.

Activació HSM PGP local:
Amb PassCypher HSM PGP en ordinador, l’usuari simplement fa clic en un botó integrat al camp d’identificació per activar l’autoemplenament. El secret es desxifra localment des del contenidor xifrat AES-256 CBC PGP, també en RAM, però sense intervenció NFC i sense passar pel DOM.

A diferència dels gestors en núvol o de les passkeys FIDO, aquestes solucions no apliquen pegats a posteriori: eliminen la superfície d’atac des de la concepció.
És el nucli de l’enfocament sovereign-by-design: arquitectura descentralitzada, sense servidor central, sense base de dades a escurar.

Implementació pràctica Zero DOM

  • HSM fora de línia + activació física (NFC/HID)
  • Autofill via URL sandbox i canals RAM efímers
  • Anti-BITB (EviBITB) per a navegació segura

⮞ Resum

El Zero DOM no és un pedaç, sinó un canvi de doctrina.
Mentre els vostres secrets visquin dins del navegador, seguiran sent vulnerables.
Fora del DOM, xifrats en HSM i activats físicament, esdevenen inaccessibles als atacs clickjacking extensions DOM o BITB.

PassCypher HSM PGP — Tecnologia Zero-DOM Patentada des del 2015

Molt abans de l’exposició del Clickjacking d’extensions DOM al DEF CON 33, Freemindtronic ja havia triat un altre camí. Des del 2015, la nostra R&D va establir un principi fundacional: mai utilitzar el DOM per transportar secrets. Aquesta doctrina de Zero Trust va donar lloc a una arquitectura Zero-DOM patentada en PassCypher, garantint que credencials, TOTP/HOTP, contrasenyes i claus criptogràfiques romanguin confinades en un HSM de maquinari — mai injectades en un entorn manipulable.

Un Avanç Únic en Gestors de Contrasenyes

  • Zero DOM natiu — cap dada sensible toca mai el navegador.
  • HSM PGP integrat — xifrat AES-256 CBC + segmentació de claus patentada.
  • Autonomia sobirana — sense servidor, sense base de dades, sense dependència del núvol.

🛡 Protecció BITB Reforçada

Des del 2020, PassCypher HSM PGP inclou — fins i tot en la seva versió gratuïta — la tecnologia
EviBITB.
Aquesta innovació neutralitza en temps real els atacs de Browser-in-the-Browser (BITB): destrueix iframes maliciosos, detecta superposicions fraudulentes i valida contextos sense servidor, sense base de dades i de manera completament anònima.
Descobreix com funciona EviBITB en detall.

Implementació Immediata

L’usuari no ha de configurar res: només cal instal·lar l’extensió PassCypher HSM PGP des del
Chrome Web Store
o Edge Add-ons,
activar l’opció BITB i gaudir de la protecció sobirana Zero-DOM de manera instantània — mentre la competència encara corre darrere del problema.

Interfície de PassCypher HSM PGP amb EviBITB activat, eliminant automàticament les iFrames de redirecció sospitosa

EviBITB integrat a PassCypher HSM PGP detecta i elimina en temps real totes les iFrames de redirecció, neutralitzant els atacs BITB i les manipulacions invisibles del DOM.

PassCypher NFC HSM — Gestor de contrasenyes passwordless sobirà amb HSM NFC

Quan els gestors de contrasenyes tradicionals cauen en la trampa d’un simple iframe, PassCypher NFC HSM obre una via sobirana: els vostres identificadors, contrasenyes, claus privades no passen mai pel DOM.
Romanen xifrats dins d’un nano-HSM fora de línia, i només apareixen un instant en memòria volàtil (RAM) — el temps estrictament necessari per a l’autenticació.

Aquí, res no queda exposat al DOM: no existeix cap contrasenya mestra a extreure, perquè la seguretat es basa en claus segmentades dins l’HSM. Els contenidors romanen sempre xifrats, i el desxifrat només s’executa en RAM per muntar els segments necessaris.
Un cop completat l’autoemplenament segur, tot desapareix sense deixar cap rastre explotable.

🔧 Funcionament per a l’usuari:

  • Secrets intocables — emmagatzemats i xifrats al NFC HSM, mai visibles ni extrets.
  • TOTP/HOTP — generats i mostrats sota demanda via l’app Android PassCypher NFC HSM o des de l’ordinador amb PassCypher HSM PGP.
  • Entrada manual — l’usuari introdueix el seu PIN o login al camp previst, en mòbil o escriptori, visualitzat des de l’app PassCypher (Freemindtronic) i generat pel mòdul NFC HSM.
  • Entrada automàtica sense contacte — l’usuari no tecleja res: només cal presentar el mòdul NFC HSM al telèfon o ordinador. Funciona també quan l’app PassCypher NFC HSM està aparellada amb PassCypher HSM PGP.
  • Entrada automàtica en ordinador — amb PassCypher HSM PGP en Windows o macOS, l’usuari fa clic en un botó integrat als camps d’identificació per autoemplenar amb validació automàtica el login, contrasenya.
  • Anti-BITB distribuït — mitjançant aparellament segur NFC ↔ Android ↔ navegador (Win/Mac/Linux), els iframes maliciosos són destruïts en temps real (EviBITB).
  • Mode HID BLE — injecció directa fora del DOM via teclat Bluetooth emulat, que neutralitza els keyloggers i altres atacs d’intercepció.

⮞ Resum

PassCypher NFC HSM encarna el Zero Trust (cada acció ha de ser validada físicament) i el Zero Knowledge (cap secret no és mai exposat).
Una custòdia d’identitat digital material by design, que fa inoperants el clickjacking DOM, el BITB, el keylogging, el typosquatting, els atacs per homoglyphes (IDN spoofing), les injeccions DOM, el clipboard hijacking, les extensions malicioses i anticipa els atacs quàntics.

🛡 Atacs neutralitzats per PassCypher NFC HSM

Tipus d’atac Descripció Estat amb PassCypher
Clickjacking / UI Redressing Iframes invisibles o superposicions que enganyen l’usuari Neutralitzat (EviBITB)
BITB (Browser-in-the-Browser) Falsos navegadors simulats per robar credencials Neutralitzat (sandbox + aparellament)
Keylogging Captura de tecles Neutralitzat (mode HID BLE)
Typosquatting URLs que imiten dominis legítims Neutralitzat (validació física)
Atac per homoglyphes (IDN spoofing) Substitució de caràcters Unicode per enganyar l’usuari Neutralitzat (zero DOM)
Injecció DOM / DOM XSS Scripts maliciosos injectats al DOM Neutralitzat (arquitectura fora del DOM)
Clipboard hijacking Intercepció o manipulació del porta-retalls Neutralitzat (sense ús del porta-retalls)
Extensions malicioses Alteració del navegador mitjançant plugins o scripts Neutralitzat (aparellament + sandbox)
Atacs quàntics (anticipats) Càlculs massius per trencar claus criptogràfiques amb computació quàntica Atenuat (claus segmentades + AES-256 CBC + PGP)

PassCypher HSM PGP — Gestió sobirana de claus

En un món on els gestors clàssics cauen davant d’un simple iframe fantasma, PassCypher HSM PGP refusa jugar aquesta partida.

La seva regla? zero servidor, zero base de dades, zero DOM.

Els vostres secrets — identificadors, contrasenyes, passkeys, claus SSH/PGP, TOTP/HOTP — viuen dins de contenidors xifrats AES-256 CBC PGP, protegits per un sistema de claus segmentades patentades, dissenyat per resistir fins i tot a l’era quàntica.

Per què resisteix davant d’atacs com els de DEF CON 33?
Perquè aquí res no passa pel DOM, cap master password és interceptable i, sobretot: els contenidors romanen sempre xifrats.
El desxiframent només es produeix en memòria volàtil RAM, el temps d’assemblar els segments de claus necessaris.
Un cop completat l’emplenament automàtic, tot desapareix sense deixar cap rastre explotable.

Funcionalitats clau:

  • Autoemplenament blindat — un sol clic, però via URL sandbox, mai en clar al navegador.
  • EviBITB integrat — destructors d’iframes i overlays maliciosos, activables en mode manual, semi-automàtic o automàtic, 100 % fora de servidor.
  • Eines criptogràfiques integrades — generació i gestió de claus segmentades AES-256 i claus PGP sense dependències externes.
  • Compatibilitat universal — funciona amb qualsevol web via software + extensió de navegador; sense actualitzacions forçades ni connectors exòtics.
  • Arquitectura sobirana — sense servidor, sense base de dades, sense contrasenya mestra, 100 % anonimitzada — inatacable by design allà on el núvol falla.

Resultat: mentre un gestor clàssic és víctima d’un overlay o d’un Browser-in-the-Browser,
PassCypher HSM PGP continua hermètic.
Cap calaix obert en clar, cap DOM a manipular: només una custòdia material sobirana que desmunta phishing, keylogging i clickjacking extensions DOM.

⮞ Resum

PassCypher HSM PGP redefineix la gestió de secrets: contenidors sempre xifrats, claus segmentades, desxiframent efímer en RAM, Zero DOM i Zero Cloud.
Una mecànica passwordless sobirana, pensada per resistir tant els atacs d’avui com les amenaces de demà.

SeedNFC + HID Bluetooth — Injecció segura dels wallets

Les extensions de wallets depenen del DOM… i és just aquí on se les atrapa.
Amb SeedNFC HSM, la lògica s’inverteix: les claus privades i les seed phrases no surten mai de l’enclavament segur.

Quan cal inicialitzar o restaurar un wallet (web o escriptori), l’entrada es fa mitjançant una emulació HID Bluetooth — com si fos un teclat físic — sense portar al porta-retalls, sense passar pel DOM, i sense deixar rastre. Això inclou tant claus privades i públiques com credencials i contrasenyes de hot wallets.

Flux operatiu (anti-DOM, anti-clipboard):

  • Custòdia — la seed/clau privada queda xifrada dins del SeedNFC HSM (mai exportada, mai visible).
  • Activació física: l’ús del sistema sense contacte mitjançant el NFC HSM autoritza l’operació des de l’aplicació Freemindtronic (telèfon Android amb NFC).
  • Injecció HID BLE — la seed (o fragment/format requerit) és teclejada directament al camp del wallet, fora del DOM i fora del porta-retalls (resistent a keyloggers de software).
  • Protecció BITB — en un wallet web, l’EviBITB (anti-Browser-in-the-Browser) pot ser activat des de l’app, neutralitzant overlays i redireccions fraudulentes.
  • Efimeritat — les dades transiten únicament en RAM volàtil el temps estrictament necessari de l’escriptura HID, i després desapareixen.

Casos d’ús típics:

  • Onboarding o recuperació de wallets (MetaMask, Phantom, etc.) sense exposar mai la clau privada al navegador ni al DOM. El secret roman xifrat dins del HSM i només es desxifra en RAM, el temps estrictament necessari per a l’operació.
  • Operacions crítiques en ordinador (air-gap lògic), amb validació física per part de l’usuari: presenta el mòdul NFC HSM sota el telèfon Android NFC per autoritzar l’acció, sense interacció amb el teclat i sense exposició al DOM.
  • Custòdia sobirana multi-actius: frases seed, claus màster i claus privades conservades en HSM fora de línia, reutilitzables sense còpia, sense exportació ni captura, activables només per acció física traçable.

⮞ Resum

SeedNFC HSM amb HID Bluetooth = entrada « teclat físic » de la clau privada directament al hot wallet:
Zero DOM, Zero porta-retalls, anti-BITB activable, i activació física via NFC.
Els secrets romanen dins de l’enclavament HSM, intocables per les trampes de clickjacking extensions DOM.

Escenaris d’explotació i vies de mitigació

Les revelacions del DEF CON 33 no són un final de partida, sinó un avís.
El que arriba podria ser encara més corrosiu:

  • Phishing impulsat per IA + desviament DOM — Demà ja no serà un kit de phishing improvisat en un garatge, sinó LLM generant en temps real overlays DOM indetectables, capaços d’imitar qualsevol portal bancari o núvol corporatiu.
  • Tapjacking mòbil híbrid — La pantalla tàctil es converteix en un camp de mines: superposició d’apps, autoritzacions invisibles i, en segon pla, els gestos de l’usuari són desviats per validar transaccions o exfiltrar OTP.
  • HSM preparats per al post-quàntic — HSM preparats per al post-quàntic — La propera línia de defensa no serà un simple pedaç de navegador, sinó uns HSM resistents al càlcul quàntic, capaços d’absorbir les futures capacitats de Shor o Grover. Solucions com PassCypher HSM PGP i SeedNFC en seguretat quàntica ja encarnen aquest fonament material zero-DOM, pensat per a l’era post-núvol..

⮞ Resum

El futur del clickjacking extensions DOM i del phishing no s’escriu dins del codi dels navegadors, sinó en el seu contorn.
La mitigació passa per una ruptura: suports físics fora de línia, amb seguretat quàntica i arquitectures sobiranes.
La resta no són més que pedaços de programari condemnats a esquerdar-se.

Síntesi estratègica

El DOM-Based Extension Clickjacking revela una veritat incòmoda: els navegadors i les extensions no són entorns de confiança.
Els pedaços arriben de manera dispersa, l’exposició d’usuaris es compta en desenes de milions, i els marcs regulatoris sempre corren darrere l’amenaça.

L’única sortida sobirana? Una governança estricta del programari, acompanyada d’una còpia de seguretat fora del DOM (PassCypher NFC HSM / HSM PGP), on els secrets romanen xifrats, fora de línia i intocables pel redressing.

La via sobirana:

  • Governança estricta dels programes i extensions
  • còpia de seguretat de les identitats (PassCypher NFC HSM / HSM PGP)
  • Secrets xifrats, fora del DOM, fora del núvol, redress-proof

Doctrina de sobirania ciber material —

  • Tot secret exposat al DOM s’ha de considerar compromès per defecte.
  • L’identitat digital s’ha d’activar físicament (NFC, HID BLE, HSM PGP).
  • La confiança no pot reposar en el sandbox del navegador, sinó en l’aïllament material.
  • Les extensions s’han d’auditar com a infraestructures crítiques.
  • La resiliència post-quàntica comença per l’aïllament físic de les claus.
Punt cec regulatori —
CRA, NIS2 o RGS (ANSSI) reforcen la resiliència del programari, però cap cobreix els secrets integrats al DOM.
La còpia de seguretat continua sent l’únic fallback sobirà — i només els Estats capaços de produir i certificar els seus propis HSM poden garantir una veritable sobirania digital.
Continuïtat estratègica —
El clickjacking extensions DOM s’afegeix a una sèrie negra: ToolShell, eSIM hijack, Atomic Stealer…
Tots ells són avisos sobre els límits estructurals de la confiança en el programari.
La doctrina d’una ciberseguretat sobirana arrelada en el maquinari ja no és una opció. Ara és un fonament estratègic.

🔥 En resum: el núvol posarà pedaços demà, però el maquinari ja protegeix avui.

A tenir en compte — Què no cobreix aquesta crònica:
Aquesta anàlisi no proporciona cap proof-of-concept explotable ni cap tutorial tècnic per reproduir atacs de tipus clickjacking extensions DOM o phishing de passkeys.
Tampoc no detalla els aspectes econòmics relacionats amb les criptomonedes ni les implicacions legals específiques fora de la UE.
L’objectiu és oferir una lectura estratègica i sobirana: comprendre les falles estructurals, identificar els riscos sistèmics i posar en perspectiva les contramesures materials zero trust (PassCypher, SeedNFC).

EviTag NFC HSM at CONAND 2018: a Bug Bounty Express organized by Fullsecure

Evitag NFC HSM at CONAND 2018, a contactless password manager service.
Participants at a bug bounty event.
Freemindtronic contactless technology NFC EviTag rugged ip6k9k Android NFC Phone hands Made in Andorra

Evitag NFC HSM at CONAND 2018: Fullsecure, partner of the cybersecurity congress in Andorra, organizes a Bug Bounty Express on its product. It is a security challenge that consists of detecting vulnerabilities on this innovative product that allows to secure your secrets via an NFC electronic module. The Bug Bounty Express takes place on the Fullsecure booth during the second edition of CONAND 2018, on February 7 and 8.

Bug Bounty Show Events

What is CONAND 2018?

CONAND 2018 is an event organized by Andorra Telecom, the telecommunications operator of the country, in collaboration with the government of Andorra, the Cybersecurity Research Center of the University of Andorra and the Chamber of Commerce, Industry and Services of Andorra. It aims to promote cybersecurity as a key element of digital transformation and to strengthen Andorra’s position as a technological and innovative hub. The second edition of this congress took place from February 7 to 8, 2018 at the Congress Center of Andorra la Vella and brought together national and international experts, companies, institutions and researchers around conferences, workshops,

Demo show in booth

How to use Evitag NFC HSM?

To use Evitag NFC HSM, you just need to have an Android NFC smartphone and the Android application developed by Freemindtronic Andorra. By passing the NFC HSM module under the phone, you can display your secret, share it in RSA 4096 (a very robust asymmetric encryption algorithm) or use it directly on your phone or on a computer via a web extension coupled to the phone serving as a terminal.

Cyber Safety & Security

What are the advantages of Evitag NFC HSM?

Evitag NFC HSM has several advantages over traditional solutions for storing your secrets:

  • It works without server or database, which reduces costs and risks of hacking.
  • It works only without contact, which avoids compatibility or connectivity issues.
  • It is lifetime without battery, without maintenance and tamperproof and waterproof, which ensures its reliability and durability.
  • It uses an AES 256 encryption algorithm, recognized as one of the safest in the world, to encrypt your secrets stored in the EPROM memory of the NFC.
Use case

Who is Evitag NFC HSM for?

Evitag NFC HSM is for anyone who needs to secure their secrets in a convenient and reliable way. It is especially useful for private users who want to protect their online accounts, digital wallets, social media profiles and other sensitive information. Indeed, with Evitag NFC HSM, you can:

  • Manage and access your secrets easily without having to memorize or write them down.
  • Log in to your online accounts using the NFC HSM to display your password in volatile memory on your phone without leaving any trace of it.
  • Share your secrets with your friends or family in a secure and controlled way.
  • No risk in case of loss, theft or attempted compromise of the NFC HSM module locked to access with more than 9 trust criteria serving as a multifactor authentication system. Knowing that your secrets contained in the NFC HSM can be cloned, backed up in an encrypted way for later restoration in a new NFC HSM.
  • Benefit from a high level of security thanks to the physical and logical protection of the NFC HSM module encrypted in AES 256 with segmented key.
Buy

How to get Evitag NFC HSM?

Evitag NFC HSM is a product marketed in white label by Fullsecure, a company specialized in the distribution of IT security solutions. To learn more about Evitag NFC HSM or to place an order, you can contact Fullsecure at the following coordinates:

CONAND 2018 EviTag NFC HSM Box wuite label

Send us a message

    Buy

    Visit our exhibition and demonstration space at CONAND 2018

    If you are curious to discover Evitag NFC HSM in action, we invite you to visit our exhibition and demonstration space at CONAND 2018. You will be able to test our product, ask your questions and exchange with our team. We will be happy to welcome you and show you our contactless security solution.

    Join the Bug Bounty Express on Evitag NFC HSM

    If you are interested in participating in the Bug Bounty Express on Evitag NFC HSM, you can find more information about the challenge, the rules, the rewards and the registration process on the following link: Bug Bounty Express on Evitag NFC HSM. This is a great opportunity to test your skills, learn new techniques and earn incentives for finding vulnerabilities on this innovative product. Don’t miss this chance to join the cybersecurity community and contribute to making the digital world safer.