Image by Volodymyr Kondriianenko, from Unsplash
Менеджеры паролей утечка данных в новой атаке Clickjacking
Время для прочтения: 2 мин.
Последние обновления: Aug 21, 2025
-
![Киара Фаббри]()
-
![Команда локализации и перевода]()
Перевод выполнен Команда локализации и перевода Услуги локализации и перевода
Новое исследование предупреждает, что миллионы пользователей менеджеров паролей могут быть уязвимы для опасной браузерной угрозы под названием «DOM-основанный Extension Clickjacking».
Спешите? Вот основные факты:
- Атакующие могут обмануть пользователей, заставив их автоматически заполнять данные одним фальшивым кликом.
- Утечка данных включает в себя кредитные карты, учетные данные для входа, и даже двухфакторные коды.
- 32,7 миллиона пользователей остаются под угрозой, поскольку некоторые производители не устранили недостатки.
Исследователь, стоящий за этими выводами, объяснила: «Clickjacking все еще представляет угрозу безопасности, но необходимо перейти от веб-приложений к расширениям браузера, которые в настоящее время более популярны (менеджеры паролей, криптовалютные кошельки и другие).»
Атака осуществляется путем обмана пользователей, которые нажимают на фальшивые элементы, включая баннеры с куками и всплывающие окна captcha, в то время как невидимый скрипт тайно активирует функцию автозаполнения менеджера паролей. Исследователи объясняют, что атакующим нужен был только один клик, чтобы украсть конфиденциальную информацию.
«Один щелчок где угодно на сайте, контролируемом злоумышленником, может позволить атакующим украсть данные пользователей (данные кредитной карты, личные данные, учетные данные, включая TOTP)», — говорится в отчете.
Исследователь протестировала 11 популярных менеджеров паролей, включая 1Password, Bitwarden, Dashlane, Keeper, LastPass и iCloud Passwords. Результаты оказались тревожными: «Все они были уязвимы для ‘DOM-based Extension Clickjacking’. Десятки миллионов пользователей могут быть под угрозой (около 40 миллионов активных установок).»
Тесты показали, что шесть менеджеров паролей из девяти раскрывали данные кредитной карты, в то время как восемь менеджеров из десяти утечку личной информации. Более того, десять из одиннадцати позволяли злоумышленникам украсть сохраненные учетные данные для входа. В некоторых случаях даже двухфакторные коды аутентификации и ключи доступа могли быть скомпрометированы.
Хотя поставщики были предупреждены еще в апреле 2025 года, исследователи отмечают, что некоторые из них, такие как Bitwarden, 1Password, iCloud Passwords, Enpass, LastPass и LogMeOnce, все еще не устранили эти недостатки. Это особенно тревожно, поскольку оставляет примерно 32,7 миллиона пользователей под угрозой этой атаки.
Исследователи пришли к выводу: «Описанный метод является универсальным, и я проверял его только на 11 менеджерах паролей. Другие расширения, изменяющие DOM, вероятно, также уязвимы (менеджеры паролей, криптовалютные кошельки, заметки и т. д.)».
Предыдущая история
Последние статьи 
