Image by Volodymyr Kondriianenko, from Unsplash
Passordhåndterere lekker data i nytt clickjacking-angrep
Lesetid: 2 min.
Sist Oppdatert: Aug 21, 2025
-
![Kiara Fabbri]()
-
![Lokaliserings- og oversettelsesteamet]()
Oversatt av Lokaliserings- og oversettelsesteamet lokaliserings- og oversettelsestjenester
En ny studie advarer om at millioner av passordhåndteringsbrukere kan være sårbare for en farlig nettleserutnyttelse kalt «DOM-basert Extension Clickjacking.»
Har du det travelt? Her er de raske faktaene:
- Angripere kan lure brukere til å fylle ut data automatisk med ett falskt klikk.
- Lekket data inkluderer kredittkort, påloggingsinformasjon, og til og med to-faktor koder.
- 32,7 millioner brukere er fortsatt eksponert ettersom noen leverandører ikke har utbedret feilene.
Forskeren bak funnene forklarte: “Clickjacking er fortsatt en sikkerhetstrussel, men det er nødvendig å skifte fra webapplikasjoner til nettleserutvidelser, som er mer populære i dag (passordadministratorer, krypto lommebøker og andre).”
Angrepet fungerer ved å lure brukerne til å klikke på falske elementer, inkludert informasjonskapsel-bannere og captcha-pop-ups, mens et usynlig skript hemmelig aktiverer autofyll-funksjonen til passordbehandleren. Forskerne forklarer at angriperne bare trengte ett klikk for å stjele sensitiv informasjon.
“Ett enkelt klikk hvor som helst på en angriperkontrollert nettside kan tillate angripere å stjele brukernes data (kredittkortdetaljer, personlige data, innloggingsinformasjon inkludert TOTP),» sier rapporten.
Forskeren testet 11 populære passordadministratorer, inkludert 1Password, Bitwarden, Dashlane, Keeper, LastPass og iCloud Passwords. Resultatene var alarmerende: «Alle var sårbare for ‘DOM-basert Extension Clickjacking’. Titalls millioner av brukere kunne være i fare (~40 millioner aktive installasjoner).»
Testene avslørte at seks av ni passordadministratorer avslørte kredittkortdetaljer, mens åtte administratorer av ti lekket personlig informasjon. Videre tillot ti av elleve angripere å stjele lagrede påloggingsdetaljer. I noen tilfeller kunne selv tofaktorautentiseringskoder og passnøkler være kompromittert.
Selv om leverandørene ble varslet i april 2025, bemerker forskerne at noen av dem, som Bitwarden, 1Password, iCloud-passord, Enpass, LastPass og LogMeOnce, ennå ikke har rettet opp feilene. Dette er spesielt bekymringsfullt siden det utsetter anslagsvis 32,7 millioner brukere for dette angrepet.
Forskerne konkluderte: «Teknikken som er beskrevet er generell og jeg testet den bare på 11 passordstyrere. Andre DOM-manipulerende utvidelser er sannsynligvis sårbare (passordstyrere, krypto-lommebøker, notater osv.).»
Forrige innlegg
Siste artikler 
