Image by Volodymyr Kondriianenko, from Unsplash
Менеджери паролів витікають дані через нову атаку Clickjacking
Час читання: 2 хв.
Востаннє оновлено: Aug 21, 2025
-
![Кіара Фаббрі]()
-
![Команда з локалізації та перекладу]()
Переклад Команда з локалізації та перекладу Послуги локалізації та перекладу
Нове дослідження попереджає, що мільйони користувачів менеджерів паролів можуть бути вразливими до небезпечного браузерного експлойту, що називається “DOM-орієнтований Extension Clickjacking”.
Вам поспішається? Ось основні факти:
- Атакуючі можуть обманути користувачів, щоб ті автоматично заповнили дані одним фальшивим натисненням.
- Протеклі дані включають кредитні картки, дані для входу та навіть двофакторні коди.
- 32,7 мільйони користувачів залишаються вразливими, оскільки деякі постачальники не виправили помилки.
Дослідниця, яка стоїть за цими висновками, пояснила: “Clickjacking все ще є загрозою безпеки, але необхідно перейти від веб-додатків до розширень для браузерів, які сьогодні стають все популярнішими (менеджери паролів, криптовалютні гаманці та інші).”
Атака працює шляхом обману користувачів, заохочуючи їх натискати на фальшиві елементи, включаючи банери з cookie та спливаючі вікна captcha, тоді як невидимий скрипт таємно активує функцію автозаповнення менеджера паролів. Дослідники пояснюють, що зловмисникам потрібен був лише один клік, щоб вкрасти конфіденційну інформацію.
“Один клік будь-де на веб-сайті, яким керує зловмисник, може дозволити зловмисникам вкрасти дані користувачів (деталі кредитної картки, особисті дані, дані для входу, включаючи TOTP)”, – говориться в звіті.
Дослідниця протестувала 11 популярних менеджерів паролів, включаючи 1Password, Bitwarden, Dashlane, Keeper, LastPass та iCloud Passwords. Результати були тривожними: “Всі були вразливі до ‘DOM-орієнтованого розширення Clickjacking’. Десятки мільйонів користувачів можуть бути в ризику (~40 мільйонів активних встановлень).”
Тести показали, що шість менеджерів паролів з дев’яти викривали деталі кредитних карток, тоді як вісім менеджерів з десяти викривали особисту інформацію. Більше того, десять з одинадцяти дозволяли зловмисникам красти збережені дані для входу. У деяких випадках, навіть двофакторні коди аутентифікації та ключі доступу могли бути скомпрометовані.
Хоча продавці були сповіщені ще в квітні 2025 року, дослідники зазначають, що деякі з них, такі як Bitwarden, 1Password, iCloud Passwords, Enpass, LastPass та LogMeOnce, ще не усунули ці недоліки. Це особливо турбує, оскільки це ставить під удар приблизно 32,7 мільйонів користувачів, які можуть бути потрапити під цю атаку.
Дослідники зробили висновок: “Описана техніка є загальною, і я тестував її лише на 11 менеджерів паролів. Інші розширення, що маніпулюють DOM, ймовірно, також уразливі (менеджери паролів, криптовалютні гаманці, нотатки тощо).”
Попередня стаття
Найсвіжіші статті 
