На конференции DEF CON 33 исследователь Марек Тот сообщил о критических уязвимостях в браузерных расширениях популярных менеджеров паролей. Ошибки в коде позволяют злоумышленникам использовать технику clickjacking для кражи логинов, кодов авторизации и финансовой информации.
Что такое clickjacking и как он работает
Clickjacking — это приём, при котором поверх легитимного содержимого сайта накладываются невидимые кнопки или формы. Пользователь думает, что кликает на привычные элементы интерфейса, но на самом деле взаимодействует с подменёнными объектами.
В случае с менеджерами паролей атака направлена на браузерные расширения. Хакеры могут сделать часть интерфейса невидимой, наложить ложные элементы или отслеживать движения курсора, перенаправляя клики так, чтобы активировать функции автозаполнения и получить доступ к конфиденциальным данным.
Какие сервисы оказались уязвимыми
Исследование охватило 11 продуктов, и во всех были обнаружены слабые места. Особенно уязвимыми оказались расширения:
- 1Password (v. 8.11.4.27)
- Bitwarden (v. 2025.7.0, исправлено в 2025.8.0)
- Enpass (v. 6.11.6, частично защищён)
- iCloud Passwords (v. 3.1.25)
- LastPass (v. 4.146.3)
- LogMeOnce (v. 7.12.4)
По оценкам, этими платформами пользуются около 40 миллионов человек. Другие сервисы — Dashlane, NordPass, Proton Pass, RoboForm и Keeper — выпустили обновления заранее, до публичного раскрытия уязвимостей.
Реакция компаний
Подход разработчиков к проблеме оказался разным. Bitwarden признал проблему и выпустил обновление. LastPass заявил, что работает над исправлением, но отметил, что уже использует защитные меры, такие как подтверждение перед автозаполнением. 1Password и некоторые другие компании изначально сочли уязвимости «информационными» и не критичными. LogMeOnce вовсе не ответил на запросы исследователей.
При этом Тот показал, что универсальный скрипт способен определять, какой именно менеджер используется в браузере, и адаптировать метод атаки. Его демонстрации на DEF CON 33 подтвердили возможность кражи не только логинов, но и платёжных данных.
Что делать пользователям
До выхода окончательных исправлений специалисты рекомендуют:
- отключить функцию автозаполнения в расширениях менеджеров паролей;
- использовать копирование и вставку для ввода данных;
- быть осторожнее при взаимодействии с всплывающими окнами и подозрительными баннерами на сайтах.
Многие компании утверждают, что clickjacking — это скорее проблема веб-браузеров и внимательности пользователей, чем уязвимость их приложений. Однако эксперты сходятся во мнении: пока решения остаются частичными, риск утечки данных сохраняется.
