Независим изследовател на сигурността съобщи, че може да използва възможностите за автоматично попълване на шест от най-големите мениджъри на пароли, за да краде… пароли. Марек Тот разкри уязвимост на популярните приложения по време на хакерската конференция DEF CON 33.
Атаката чрез “clickjacking” е способна да открадне пароли, 2FA кодове и данни за кредитни карти, което я прави сериозен проблем за десетки милиони потребители на мениджъри на пароли.
Тот е тествал атаката срещу версии на 1Password, Bitwarden, Enpass, iCloud Passwords, LastPass и LogMeOnce, за да установи, че вариантите, базирани на браузър, са уязвими към изтичане на съхранените данни при подходящи условия.
Атаката разчита на уебсайт, който използва настройки за непрозрачност, наслагвания или събитие-пойнтер, за да направи невидима функцията за автоматично попълване на уеб-базирания мениджър на пароли.
Използваните от нападателите уебсайтове могат да бъдат или злонамерени, или легитимни сайтове, които са били компрометирани.
След това атакуващият използва CAPTCHA или изскачащ прозорец, който умишлено поставя кликванията на потребителя върху скритите контроли на мениджъра на пароли, автоматично попълва идентификационните данни във формуляра и ги краде.
Това, което прави този вектор на атака още по-опасен, е, че атакуващият може да използва универсален скрипт за атака, за да идентифицира мениджъра на пароли, активен в уеб браузъра, и да коригира атаката, за да я насочи конкретно към този мениджър.
И други варианти на атаката бяха демонстрирани на DEF CON 33, включително няколко DOM-базирани подтипа, които злоупотребяват с непрозрачността на ниво елемент, родителски елемент, корен и наслагване, както и атака, която може да задейства автоматично попълване навсякъде, където е поставен курсорът.
Тот е уведомил компаниите, върху които е тествал вектора на атака, през април 2025 г., като е предупредил, че публичното оповестяване ще бъде направено на DEF CON 33 през август. Изследователи по киберсигурност в Socket са проверили методите на Тот и са съдействали за уведомяване на разработчиците на засегнатите мениджъри на пароли.
Няколко мениджъра на пароли остават уязвими за атаката, включително следните версии: 1Password 8.11.4.27, Bitwarden 2025.7.0, Enpass 6.11.6 (частична корекция, внедрена в 6.11.4.2), iCloud Passwords 3.1.25, LastPass 4.146.3 и LogMeOnce 7.12.4.
Последните версии на Dashlane, NordPass, ProtonPass, RoboForm и Keeper са “закърпени” срещу демонстрирания от Тот вектор на атака. LastPass и LogMeOnce в момента работят върху корекции за защита.
Няколко компании публикуваха коментари до BleepingComputer след статията, с които потвърждават уязвимостта и уверяват, че предприемат мерки за подсигуряване на защитата на потребителите от подобни атаки.
