密码管理器在新的点击劫持攻击中泄露数据

一项新的研究警告说，数百万的密码管理器用户可能会受到一种名为“基于DOM的扩展点击劫持”的危险浏览器漏洞的威胁。

这项研究的负责人在解释时提到：“点击劫持仍然是一个安全威胁，但我们需要从网络应用转向浏览器扩展，这些扩展现在更加流行（例如密码管理器，加密钱包等等）。”

该攻击的工作原理是通过欺骗用户点击伪造的元素，包括cookie横幅和验证码弹出窗口，同时一个不可见的脚本秘密启动密码管理器的自动填充功能。研究人员解释说，攻击者只需要点击一下就可以窃取敏感信息。

“在攻击者控制的网站上的任何地方单击一次，都可能让攻击者窃取用户的数据（包括信用卡详细信息，个人数据，登录凭证包括TOTP）,” 报告指出。

这位研究员对11款热门密码管理器进行了测试，包括1Password、Bitwarden、Dashlane、Keeper、LastPass和iCloud密码。结果令人震惊：“所有的密码管理器都容易受到’基于DOM的扩展点击劫持’的攻击。可能有数千万的用户面临风险（约有4000万活跃安装量）。”

测试揭示，九款密码管理器中的六款可能会泄漏信用卡详细信息，而十款中的八款可能会泄露个人信息。更进一步，十一款中的十款可能允许攻击者窃取存储的登录凭据。在某些情况下，甚至可能会泄露双因素身份验证代码和密钥。

虽然供应商们在2025年4月就已经收到了警告，但研究人员注意到，其中一些供应商，如Bitwarden、1Password、iCloud Passwords、Enpass、LastPass和LogMeOnce等，尚未修复这些漏洞。这尤其令人担忧，因为预计有3270万用户暴露在这种攻击之下。

研究人员得出的结论是：“这种描述的技术是通用的，我只在11个密码管理器上进行了测试。其他操作DOM的扩展程序（密码管理器，加密钱包，笔记等）可能也存在漏洞。”