A legtöbb ismert jelszószéf kitett a clickjacking támadásoknak

Marek Tóth biztonsági kutató a DEF CON 2025 konferencián bemutatott előadásában és blogposztjában részletezte, hogy szinte minden népszerű böngészőbővítmény-alapú jelszókezelő – köztük a 1Password, Bitwarden, Dashlane, Enpass, Keeper, LastPass, NordPass, ProtonPass, RoboForm és az Apple iCloud Passwords – sebezhető volt clickjacking típusú támadásokkal szemben. A támadások lényege, hogy a támadó átlátszó, rosszindulatú elemeket helyez el egy weboldalon, amire a felhasználó akaratlanul rákattint, így érzékeny adatok – például jelszavak, felhasználónevek, passkey-k, fizetési adatok – szivároghatnak ki. Tóth olyan DOM-alapú támadási technikát mutatott be, amely a böngészőbővítmények által a DOM-ba injektált elemeket manipulálja JavaScript segítségével.

A vizsgált bővítményeket több mint 40 millió alkalommal telepítették, és bár néhány fejlesztő már kiadott javításokat, több népszerű alkalmazás – például a Bitwarden, 1Password, iCloud Passwords, Enpass, LastPass és LogMeOnce – még mindig sebezhető. A gyártók eltérően reagáltak: a Bitwarden javítása a 2025.8.0 verzióban érkezik, míg a 1Password szerint a böngészők működéséből fakadóan nincs teljes technikai megoldás, így inkább megerősített felhasználói visszajelzésekre építenek. A LastPass hangsúlyozta a használhatóság és biztonság közötti egyensúly fontosságát, és védelmi intézkedéseik között szerepel az automatikus kitöltések előtti figyelmeztetés. Mindkét cég arra ösztönzi a felhasználókat, hogy legyenek óvatosak az ismeretlen felületekkel és rendszeresen frissítsék bővítményeiket.

(forrás)

(forrás)