Podczas prestiżowej konferencji DEF CON 33 ujawniono szczegóły nowej techniki ataku, która stawia pod znakiem zapytania bezpieczeństwo najpopularniejszych menedżerów haseł. Badacz bezpieczeństwa Marek Tóth wykazał, że sześć wiodących platform pozostaje podatnych na wyrafinowane ataki clickjacking, co dotyczy aż 40 milionów aktywnych użytkowników globalnie.
Technika nazwana DOM-based Extension Clickjacking stanowi ewolucję klasycznych ataków, które wcześniej skupiały się na aplikacjach webowych. Tym razem hakerzy manipulują elementami interfejsu użytkownika wstrzykiwanymi bezpośrednio do DOM przez rozszerzenia przeglądarki. Mechanizm polega na wykorzystaniu właściwości CSS do ukrycia lub uczynienia przezroczystymi elementów interfejsu menedżera haseł. W praktyce użytkownik, myśląc że klika w przycisk akceptacji ciasteczek, w rzeczywistości aktywuje ukrytą funkcję autouzupełniania danych.
Efektywność tej metody jest zastanawiająco wysoka. Pojedyncze kliknięcie w dowolnym miejscu na stronie kontrolowanej przez atakującego może prowadzić do kradzieży danych kart kredytowych w przypadku większości testowanych menedżerów, a dane osobowe mogą zostać wykradzione z niemal wszystkich aplikacji. Co ciekawe, wszystkie testowane menedżery domyślnie wypełniają dane uwierzytelniające nie tylko dla głównej domeny, ale także dla wszystkich subdomen, co znacząco poszerza pole potencjalnego ataku.
Lista podatnych aplikacji obejmuje najpopularniejsze rozwiązania, w tym 1Password (wersja 8.11.4.27 i wcześniejsze), Bitwarden (wersja 2025.8.0 i wcześniejsze), Enpass (wersja 6.11.6 z częściową poprawką), iCloud Passwords (wersja 3.1.25 i wcześniejsze), LastPass (wersja 4.146.3 i wcześniejsze) oraz LogMeOnce (wersja 7.12.4 i wcześniejsze).
Tóth odpowiedzialnie powiadomił wszystkie dotknięte firmy już w kwietniu 2025 roku, dając im cztery miesiące na przygotowanie poprawek przed publicznym ujawnieniem. Reakcje okazały się jednak bardzo zróżnicowane. Najszybciej zareagowali dostawcy tacy jak Dashlane, NordPass, Proton Pass, RoboForm i Keeper, którzy wprowadzili niezbędne poprawki jeszcze przed prezentacją. Bitwarden wdrożył częściową poprawkę w wersji 2025.8.0, choć aplikacja nadal pozostaje częściowo podatna na ataki.
Popularne menedżery haseł pod ostrzałem
Niepokojące są reakcje dwóch gigantów branży. Zarówno 1Password jak i LastPass początkowo sklasyfikowały zgłoszone luki jako informacyjne, co w praktyce oznacza brak planów natychmiastowej naprawy. LastPass później złagodził stanowisko, zapewniając że pracuje nad rozwiązaniem problemów. Najgorzej wypadł LogMeOnce, który w ogóle nie odpowiedział na wielokrotne próby kontaktu ze strony badacza.
Skala potencjalnych strat jest imponująco duża. Atakujący mogą wykraść nie tylko standardowe dane logowania, ale także kody uwierzytelniania dwuskładnikowego TOTP, pełne dane kart kredytowych wraz z kodami bezpieczeństwa, dane osobowe jak adresy i numery telefonów, a w niektórych scenariuszach nawet klucze dostępu. Szczególnie niepokoi fakt, że w przypadku iCloud Passwords atak działa nawet gdy menedżer jest zablokowany lub włączony jest tryb Lockdown Mode, co podważa podstawowe założenia bezpieczeństwa tych aplikacji.
Do czasu wprowadzenia kompleksowych poprawek przez dostawców, użytkownicy powinni rozważyć wyłączenie autouzupełniania w rozszerzeniach menedżerów haseł i używać kopiowania oraz wklejania zamiast automatycznego wypełniania. W przeglądarkach opartych na Chromium warto skonfigurować dostęp rozszerzeń na opcję przy kliknięciu, zachować szczególną ostrożność podczas odwiedzania nowych lub podejrzanych stron oraz regularnie sprawdzać i aktualizować rozszerzenia do najnowszych wersji. Funkcja automatycznego blokowania menedżera po określonym czasie bezczynności stanowi dodatkową warstwę ochrony, choć jak pokazują przykłady, nie zawsze jest skuteczna.
Czytaj też: Proton Pass – nadchodzi bezpieczny menedżer haseł. Szwajcarzy stworzyli ekosystem ochrony prywatności
Odkrycie Tótha pokazuje, że clickjacking wcale nie należy do przeszłości – po prostu przeniósł się z aplikacji webowych do rozszerzeń przeglądarek. To wyraźne ostrzeżenie dla całej branży, że nawet najbardziej zaufane narzędzia bezpieczeństwa mogą mieć poważne luki. Użytkownicy muszą teraz polegać na własnej czujności, dopóki dostawcy nie wprowadzą skutecznych zabezpieczeń. W mojej opinii sytuacja ta pokazuje, jak ważne jest zachowanie zdrowego sceptycyzmu wobec każdego, nawet najbardziej rekomendowanego narzędzia ochrony danych.