Один клик — и ваши пароли уходят хакерам. Новая атака на менеджеры паролей

Популярные расширения для браузеров, которые используются для управления паролями, оказались уязвимыми для новой техники атак под названием DOM-based extension clickjacking. Метод описал независимый исследователь Марек Тот на конференции DEF CON 33. По его словам, злоумышленнику достаточно создать вредоносный сайт с поддельным всплывающим окном, чтобы при клике на нём пользователь невольно активировал автозаполнение, а конфиденциальные данные — от учётных записей и кодов двухфакторной аутентификации до платёжной информации — отправились на сервер атакующего.

Clickjacking , также называемый UI redressing, основан на том, что пользователь видит на экране безобидные элементы, но на самом деле его действие применяется к скрытым объектам. В новой реализации используются интерфейсные компоненты, которые сами менеджеры паролей внедряют в структуру веб-страницы. Злоумышленник при помощи скрипта делает эти элементы невидимыми, обнуляя их прозрачность. В итоге, нажатие на кнопку для закрытия баннера или формы приводит к срабатыванию автозаполнения и утечке информации.

Тот протестировал 11 наиболее распространённых менеджеров паролей, включая 1Password, iCloud Passwords, Bitwarden , Enpass, LastPass и LogMeOnce. Все они оказались подвержены описанному методу. В ряде случаев атака затрагивала не только стандартные учётные данные, но и временные одноразовые пароли (TOTP), а также механизмы passkey-аутентификации . Особенно опасной ситуация становится из-за того, что многие менеджеры автоматически подставляют данные не только для основного домена, но и для всех его поддоменов. Это облегчает использование других уязвимостей сайта, например XSS, для незаметной кражи данных.

По данным исследователя, 10 из 11 протестированных расширений заполняли учётные записи на поддоменах, 9 позволяли похищать TOTP-коды, а 8 — использовать вектор атаки против passkey. Таким образом, потенциальные жертвы рискуют потерять полный доступ к аккаунтам всего лишь после одного клика по ложному элементу на вредоносном сайте.

После ответственного раскрытия проблемы исправления появились не у всех производителей. На данный момент публикации обновления не выпустили:

• 1Password (версия 8.11.4.27);

• Apple iCloud Passwords (3.1.25);

• Enpass (6.11.6);

• LastPass (4.146.3);

• LogMeOnce (7.12.4).

Компания Socket, независимо проверившая исследование, сообщила , что Enpass и iCloud Passwords работают над устранением ошибки, а 1Password и LastPass признали её информативной. Организация также обратилась в US-CERT для назначения CVE-идентификаторов.

В качестве временной меры Марек Тот советует отключить автозаполнение в менеджерах и по возможности использовать копирование данных вручную. Для браузеров на базе Chromium Тот рекомендует включить настройку «доступ по клику» для расширений, что позволит самостоятельно контролировать момент подстановки паролей. Спустя несколько дней после публикации исследования Bitwarden вместе с обновлением дополнительно предупредила пользователей о необходимости внимательно следить за адресами сайтов и проявлять осторожность, чтобы не стать жертвой фишинговых ресурсов.