Podczas konferencji DEF CON 33 eksperci ds. cyberbezpieczeństwa ostrzegli użytkowników popularnych menedżerów haseł przed zagrożeniem związanym z niezałatanymi lukami typu clickjacking. Dziury te mogą umożliwić atakującym kradzież wrażliwych danych, takich jak dane logowania, kody uwierzytelniające czy informacje finansowe.
Na konferencji Marek Tóth, badacz bezpieczeństwa, ujawnił, że rozszerzenia przeglądarki dla sześciu menedżerów haseł – 1Password, Bitwarden, Enpass, iCloud Passwords, LastPass i LogMeOnce – są podatne na ataki clickjacking. Zgodnie z jego badaniami, luki te występują w najnowszych wersjach tych platform, testowanych na dzień 19 sierpnia 2025 roku.
Użytkownicy menedżerów haseł narażeni na ataki clickjacking
Clickjacking polega na zachęcaniu do kliknięcia elementów na stronie internetowej, które nie są tym, czym się wydają. Atakujący osadza niewidoczną lub częściowo przezroczystą warstwę na stronie, a następnie nakłania użytkownika do interakcji z tą warstwą.
W rezultacie ofiara może wykonać czynności, których nie zamierzała, np. polubić post na Facebooku, pobrać złośliwe oprogramowanie lub przekazać poufne informacje. Jak się teraz okazuje ta metoda jest wykorzystywana też w przypadku menedżerów haseł.
Badania Tótha obejmowały 11 popularnych menedżerów haseł, z których każdy wykazał przynajmniej jedną podatność na opisany atak. Badacz poinformował producentów tych aplikacji o problemie w kwietniu 2025 roku, zanim ujawnił go publicznie na konferencji w sierpniu.
Firma zajmująca się cyberbezpieczeństwem, Socket, zweryfikowała wyniki badań i teraz współpracuje z producentami w celu przypisania identyfikatorów CVE dla każdej dotkniętej platformy.
Pokaż / Dodaj komentarze do: Twoje hasła mogą nie być bezpieczne. Luki w najpopularniejszych menedżerach haseł