Se han incompatible complementos populares de Administrador de contraseñas para navegadores web susceptibles a las vulnerabilidades de seguridad de Clickjacking que podrían explotarse para robar credenciales de cuentas, códigos de autenticación de dos factores (2FA) y detalles de la polímero de crédito bajo ciertas condiciones.
La técnica ha sido denominada Docum Object Model (DOM) Extension Clickjacking por el investigador de seguridad independiente Marek Tóth, quien presentó los hallazgos en la Conferencia de Seguridad Def Con 33 a principios de este mes.
«Un solo clic en cualquier lado en un sitio web controlado por los atacantes podría permitir a los atacantes robar los datos de los usuarios (datos de la polímero de crédito, datos personales, credenciales de inicio de sesión, incluido TOTP)», dijo Tóth. «La nueva técnica es común y se puede aplicar a otros tipos de extensiones».
Clickjacking, todavía llamado UI Reparación, se refiere a un tipo de ataque en el que los usuarios son engañados para realizar una serie de acciones en un sitio web que parecen aparentemente inofensivos, como hacer clic en los ordenanza, cuando, en existencia, realizan inadvertidamente las ofertas del atacante.
La nueva técnica detallada por Tóth implica esencialmente el uso de un script receloso para manipular rudimentos de la interfaz de legatario en una página web que el navegador de las extensiones inyecte en el DOM, por ejemplo, las indicaciones de relleno automáticamente, haciéndolos invisibles al establecer su opacidad en cero.
La investigación se centró específicamente en 11 complementos populares del navegador de contraseñas Administrador, que van desde 1 paso de paso hasta contraseñas de iCloud, todas las cuales se han incompatible susceptibles al clickjacking de extensión basado en DOM. Colectivamente, estas extensiones tienen millones de usuarios.
Para alcanzar el ataque, todo lo que tiene un mal actor tiene que hacer es crear un sitio aparente con una ventana emergente intrusiva, como una pantalla de inicio de sesión o un banner de consentimiento de cookies, mientras que el administrador de contraseñas incrusta un formulario de inicio de sesión invisible de tal modo que hacer clic en el sitio para cerrar la ventana emergente hace que la información de la credencial se llene automáticamente y se exfilice a un servidor remoto.
«Todos los administradores de contraseñas llenaron credenciales no solo al dominio ‘principal’, sino todavía a todos los subdominios», explicó Tóth. «Un atacante podría encontrar fácilmente XSS u otras vulnerabilidades y robar las credenciales almacenadas del legatario con un solo clic (10 de 11), incluido TOTP (9 de 11). En algunos escenarios, la autenticación de PassKey todavía podría explotarse (8 de 11)».
Luego de la divulgación responsable, seis de los proveedores aún no han libertino correcciones para el defecto –
- 1Password Password Manager 8.11.4.27
- Apple iCloud Passwords 3.1.25
- BitWarden Password Manager 2025.7.0
- Enpass 6.11.6
- LastPass 4.146.3
- Logmeonce 7.12.4
La firma de seguridad de la sujeción de suministro de software Socket, que revisó de forma independiente la investigación, dijo que las contraseñas de Bitwarden, Enpass e iCloud están trabajando activamente en correcciones, mientras que 1Password y LastPass las marcaron como informativas. Además se ha comunicado con US-Cert para asignar identificadores CVE para los problemas identificados.
Hasta que las correcciones estén disponibles, se recomienda que los usuarios desacten la función de relleno forzoso en sus administradores de contraseñas y solo usen copiar/pegar.
«Para los usuarios de navegador basados en Chromium, se recomienda configurar el llegada del sitio a ‘en clic’ en la configuración de extensión», dijo Tóth. «Esta configuración permite a los usuarios controlar manualmente la funcionalidad de relleno forzoso».
