Image by Volodymyr Kondriianenko, from Unsplash
Jelszókezelők Szivárogtatnak Adatokat Új Clickjacking Támadásban
Olvasási idő: 2 perc
Legutoljára frissítve: Aug 21, 2025
-
![Kiara Fabbri]()
-
![Lokalizációs & fordítói csapat]()
Fordította Lokalizációs & fordítói csapat Lokalizációs & fordítói szolgáltatások
Egy új tanulmány arra figyelmeztet, hogy a jelszókezelők milliói lehetnek sebezhetők egy veszélyes böngésző-exploit miatt, amelyet „DOM-alapú kiterjesztési kattintásgátlásnak” neveznek.
Siet? Itt vannak a legfontosabb tények:
- A támadók becsaphatják a felhasználókat, hogy egy hamis kattintással automatikusan töltsek ki adatokat.
- A kiszivárgott adatok közé tartoznak hitelkártyák, bejelentkezési hitelesítő adatok, sőt még kétlépcsős kódok is.
- 32,7 millió felhasználó marad kiélezettnek, mivel néhány szolgáltató még nem javította ki a hibákat.
A kutató, aki a megállapítások mögött áll, elmagyarázta: „A clickjacking még mindig biztonsági fenyegetést jelent, de szükséges, hogy a webalkalmazásokról áttérjünk a böngésző kiegészítőkre, amelyek manapság népszerűbbek (jelszókezelők, kriptopénz-tárcák és mások).”
A támadás úgy működik, hogy a felhasználókat megtéveszti, és arra készteti őket, hogy hamis elemekre kattintsanak, beleértve a cookie-sávokat és a captcha felugró ablakokat, miközben egy láthatatlan szkript titokban bekapcsolja a jelszókezelő automatikus kitöltési funkcióját. A kutatók elmagyarázzák, hogy a támadóknak csupán egy kattintásra volt szükségük az érzékeny információk ellopásához.
„Egyetlen kattintás bárhova egy támadó által irányított weboldalon lehetővé teheti a támadók számára a felhasználók adatainak (hitelkártya-adatok, személyes adatok, bejelentkezési adatok, beleértve a TOTP-t) ellopását” – áll a jelentésben.
A kutató 11 népszerű jelszókezelőt tesztelt, beleértve az 1Password, Bitwarden, Dashlane, Keeper, LastPass és iCloud Passwords alkalmazásokat. A eredmények aggasztóak voltak: “Mindegyik sebezhető volt a ‘DOM-alapú kiterjesztési kattintáscsalással’. Tízmilliók felhasználók lehetnek kockázatnak kitéve (körülbelül 40 millió aktív telepítés).”
A tesztek azt mutatták, hogy a kilenc jelszókezelőből hat felfedte a hitelkártya-adatokat, míg a tízből nyolc személyes információkat szivárogtatott. Továbbá, a tizenegy jelszókezelőből tíz lehetővé tette a támadók számára, hogy ellopják a tárolt bejelentkezési hitelesítő adatokat. Néhány esetben még a kétfaktoros hitelesítési kódok és kulcsok is veszélybe kerülhettek.
Bár az árusítókat már 2025 áprilisában figyelmeztették, a kutatók megjegyzik, hogy közülük néhányan, mint például a Bitwarden, az 1Password, az iCloud Passwords, az Enpass, a LastPass és a LogMeOnce még nem javították ki a hibákat. Ez különösen aggasztó, tekintve, hogy ez közel 32,7 millió felhasználót tesz ki ennek a támadásnak.
A kutatók a következőképpen zárták a jelentésüket: „Az általam leírt technika általános, és én csak 11 jelszókezelőn teszteltem. Egyéb DOM-módosító bővítmények valószínűleg sebezhetőek (jelszókezelők, kriptopénztárcák, jegyzetek stb.).”
Előző történet
Legfrissebb cikkek 
