Plugins de gerenciadores de senhas populares para navegadores de internet foram encontrados vulneráveis a falhas de segurança por clickjacking, que podem ser exploradas para roubar credenciais de contas, códigos de autenticação de dois fatores (2FA) e detalhes de cartões de crédito sob certas condições.
A técnica foi batizada de clickjacking baseado em Document Object Model (DOM) para extensões pelo pesquisador de segurança independente Marek Tóth, que apresentou os resultados na conferência de segurança DEF CON 33 no início deste mês.
"Um único clique em qualquer lugar em um site controlado por um atacante poderia permitir que os atacantes roubassem dados dos usuários (detalhes de cartões de crédito, dados pessoais, credenciais de login, incluindo TOTP)", disse Tóth.
"A nova técnica é geral e pode ser aplicada a outros tipos de extensões."
Clickjacking, também conhecido como disfarce de interface do usuário, refere-se a um tipo de ataque no qual usuários são enganados a realizar uma série de ações em um website que parecem ostensivamente inofensivas, como clicar em botões, quando, na realidade, estão inadvertidamente executando as ordens do atacante.
A nova técnica detalhada por Tóth envolve essencialmente usar um script malicioso para manipular elementos de UI em uma página da web que as extensões do navegador injetam no DOM -- por exemplo, prompts de preenchimento automático, tornando-os invisíveis ao definir sua opacidade para zero.
A pesquisa focou especificamente em 11 add-ons de gerenciadores de senhas populares para navegadores, variando de 1Password a iCloud Passwords, todos suscetíveis ao clickjacking baseado em extensão DOM.
Coletivamente, essas extensões têm milhões de usuários.
Para realizar o ataque, tudo o que um ator malicioso precisa fazer é criar um site falso com um pop-up intrusivo, como uma tela de login ou um banner de consentimento de cookies, enquanto incorpora um formulário de login invisível de forma que clicar no site para fechar o pop-up faz com que a informação de credencial seja preenchida automaticamente pelo gerenciador de senhas e exfiltrada para um servidor remoto.
"Todos os gerenciadores de senhas preencheram credenciais não apenas para o domínio 'principal', mas também para todos os subdomínios", explicou Tóth.
"Um atacante poderia facilmente encontrar vulnerabilidades XSS ou outras e roubar as credenciais armazenadas do usuário com um único clique (10 de 11), incluindo TOTP (9 de 11).
Em alguns cenários, a autenticação por passkey também poderia ser explorada (8 de 11)."
Após a divulgação responsável, seis dos fornecedores ainda não lançaram correções para o defeito:
1Password Password Manager 8.11.4.27
Apple iCloud Passwords 3.1.25
Bitwarden Password Manager 2025.7.0
Enpass 6.11.6
LastPass 4.146.3
LogMeOnce 7.12.4
A empresa de segurança da cadeia de fornecimento de software Socket, que revisou independentemente a pesquisa, disse que Bitwarden, Enpass e iCloud Passwords estão ativamente trabalhando em correções, enquanto 1Password e LastPass os marcaram como informativos.
Também foi feito contato com o US-CERT para atribuir identificadores CVE para as questões identificadas.
Até que correções estejam disponíveis, é aconselhado que os usuários desabilitem a função de preenchimento automático em seus gerenciadores de senhas e usem apenas copiar/colar.
"Para usuários de navegadores baseados em Chromium, é recomendado configurar o acesso ao site como 'ao clicar' nas configurações da extensão", disse Tóth.
Essa configuração permite que os usuários controlem manualmente a funcionalidade de preenchimento automático.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...