Популярни браузърни добавки за управление на пароли се оказаха уязвими на нов тип clickjacking атаки, които биха могли да бъдат използвани за кражба на акаунтни идентификационни данни, кодове за двуфакторна автентикация (2FA) и дори данни за банкови карти.

Техниката, наречена DOM-базиран extension clickjacking, беше представена от независимия изследовател по киберсигурност Марек Тот на конференцията DEF CON 33 по-рано този месец.

„Един единствен клик върху сайт, контролиран от нападател, може да позволи кражба на данните на потребителя – включително лични данни, кредитни карти, потребителски имена и пароли, както и TOTP кодове,“ обясни Тот. По думите му методът е общ и може да бъде приложен и срещу други разширения.

Как работи атаката

Clickjacking, известен още като UI redressing, представлява манипулация, при която потребителите са подмамени да извършат действия, изглеждащи безобидни, но всъщност изпълняващи злонамерени команди.

В случая с DOM-базирания clickjacking се използват скриптове за манипулиране на потребителския интерфейс, който разширенията за управление на пароли инжектират в DOM на страницата. Чрез промяна на прозрачността (opacity) до нула, злонамерените елементи стават невидими за потребителя, но остават активни.

Изследването обхваща 11 широко използвани добавки – от 1Password до iCloud Passwords – всички от които са се оказали уязвими. Общият брой потребители на тези разширения е в милиони.

Нападателят може да създаде фалшив уебсайт с изскачащо съобщение, например форма за вход или банер за бисквитки, и да вгради невидима форма за логин. Кликването върху сайта, за да се затвори прозорецът, задейства автоматично попълване от мениджъра на пароли и данните се изпращат към сървър на атакуващия.

„Всички мениджъри попълваха данните не само към основния домейн, но и към всички поддомейни,“ подчерта Тот. „Това позволява на атакуващите да използват XSS или други уязвимости и да извлекат съхранените идентификационни данни само с един клик. При 10 от 11 мениджъра бе възможно да се откраднат пароли, а при 9 от тях – и TOTP кодове. В някои случаи бе компрометирана и passkey автентикация.“

Засегнати доставчици и временни мерки

Шест от доставчиците все още не са издали официални поправки:

• 1Password Password Manager 8.11.4.27

• Apple iCloud Passwords 3.1.25

• Bitwarden Password Manager 2025.7.0

• Enpass 6.11.6

• LastPass 4.146.3

• LogMeOnce 7.12.4

Компанията Socket посочи, че Bitwarden, Enpass и iCloud Passwords вече работят по кръпки, докато 1Password и LastPass засега са маркирали проблема като „информативен“. Потърсено е и съдействие от US-CERT за издаване на CVE идентификатори.

До излизането на обновления се препоръчва потребителите:

• да изключат автоматичното попълване в мениджърите на пароли и да използват само копиране/поставяне;

• при Chromium-базирани браузъри да настроят достъпа на разширенията до „on click“ в настройките, за да се активира попълването ръчно.

Обновление

Bitwarden вече пусна версия 2025.8.0, с която адресира уязвимостта, доказвайки, че производителите реагират, макар и с различна скорост, на новите заплахи.