Moduly manažérov hesiel pre webové prehliadače sú obeťou clickjackingu

Bezpečnostný výskumník odhalil zraniteľnosť prídavných modulov pre webové prehliadače viacerých manažérov hesiel, ktorá umožňuje vykonávať clickbaitingové útoky a kradnúť z nich citlivé údaje. Útočníci sa môžu dostať ku prihlasovacím údajom, ale aj platobným či osobným údajom.

Zraniteľné systémy:

  • Bitwarden 2025.8.0 a staršie
  • Enpass 6.11.5 a staršie
  • KeePassXC-Browser 1.9.9.2 a staršie
  • 1Password 8.11.7.2 a staršie
  • iCloud Passwords 3.1.25
  • LastPass 4.146.3 a staršie
  • LogMeOnce 7.12.4 a staršie
  • Dashlane verzie staršie ako 6.2531.1
  • Keeper verzie staršie ako 17.2.0
  • NordPass verzie staršie ako 5.13.24
  • ProtonPass 1.31.4 a staršie
  • RoboForm 9.7.5 a staršie

Výskumník testoval iba tieto, no pravdepodobne budú zraniteľné aj mnohé ďalšie manažéry hesiel.

Opis činnosti:

Bezpečnostný výskumník Marek Tóth upozornil na zraniteľnosť viacerých manažérov hesiel voči krádeži kliknutí (tzv. clickbaiting), čo môže viesť k úniku obsahu odomknutých záznamov. Tie môžu okrem prihlasovacích údajov obsahovať aj platobné a osobné dáta. Voči clickbaitingovému útoku sú zraniteľné prídavné moduly manažérov pre internetové prehliadače.

Útočník potrebuje obeť presvedčiť, aby klikla na oznamovacie okno, cez ktoré je preložené neviditeľné okno s potvrdením vloženia údajov z manažéra do útočníkovho formuláru. Pokiaľ prídavný modul nemá definované dostatočne striktné obmedzenia prístupnosti ku svojim súborom a zdrojom pre webové stránky, môže napríklad útočník získať obsah citlivých súborov formou iframe.

Druhá forma útoku zneužíva škodlivý javascript, ktorý zneviditeľní prvky používateľského rozhrania prídavného modulu injektované do rozhrania DOM (document object model) prehliadača.

Útočník môže podvrhnúť neviditeľné menu manažéra hesiel pre výber prihlasovacích údajov na nevinne vyzerajúce potvrdenie o veku používateľa, alebo štandardne vyzerajúcu informáciu o používaní cookies. Nič netušiac, obeť kliknutím na ľubovoľné tlačidlo vyberie a odošle útočníkovi svoje prihlasovacie údaje.

Možné škody:

  • Únik citlivých informácií

Odporúčania:

Bezodkladná aktualizácia zraniteľných aplikácií aspoň na:

  • Bitwarden 2025.8.1
  • Enpass 6.11.6
  • Dashlane 6.2531.1
  • Keeper 17.2.0
  • NordPass 5.13.24
  • ProtonPass 1.31.6
  • RoboForm 9.7.6

Ostatné aplikácie v čase vydania tohto varovania ešte nemajú opravu.

Najefektívnejšou ochranou voči podobným formám útokov je zakázanie automatického dopĺňania (autofill) v nastaveniach modulov, a samozrejme obozretnosť pri výbere navštevovaných webových stránok.

Odkazy: