Независимый исследователь безопасности Марек Тот обнаружил новую уязвимость, названную «DOM-based extension clickjacking», которая затрагивает популярные браузерные расширения менеджеров паролей. Результаты исследования были представлены на конференции по безопасности DEF CON 33. Эта техника позволяет злоумышленникам похищать конфиденциальные данные пользователей, включая логины, пароли, коды двухфакторной аутентификации и данные банковских карт, всего одним кликом мыши на вредоносном веб-сайте.
Суть атаки, относящейся к новому виду кликджекинга (UI redressing), заключается в манипуляции элементами интерфейса, которые расширения встраивают в Document Object Model (DOM) веб-страницы. Вредоносный скрипт на сайте атакующего делает эти элементы, такие как подсказки для автозаполнения, полностью невидимыми, устанавливая их прозрачность на нулевой уровень. Пользователь видит только легитимный интерфейс сайта, не подозревая о скрытом слое, на который на самом деле будет направлено его действие.
Практическая реализация атаки выглядит следующим образом: пользователь переходит на подконтрольный злоумышленнику сайт. На странице отображается навязчивый элемент, требующий клика — например, баннер о согласии с файлами cookie или всплывающее окно с кнопкой «Закрыть». Непосредственно под этой видимой кнопкой злоумышленник размещает невидимую форму входа. Когда пользователь нажимает на видимый элемент, его клик на самом деле регистрируется на скрытой форме. Менеджер паролей распознает эту форму и автоматически заполняет ее сохраненными учетными данными.
После автозаполнения логин и пароль немедленно отправляются на удаленный сервер злоумышленника. Критическим фактором, способствующим успеху атаки, является то, что все протестированные менеджеры паролей по умолчанию заполняли учетные данные не только на основном домене сайта, но и на всех его поддоменах. Это значительно расширяет поле для атаки, позволяя использовать, например, XSS-уязвимость на любом из поддоменов целевого ресурса.
Исследование Марека Тота охватило 11 популярных расширений для управления паролями, и все они оказались подвержены этой атаке. Статистика показала, что у 10 из 11 менеджеров паролей можно было похитить сохраненные учетные данные одним кликом. У 9 из 11 — украсть коды двухфакторной аутентификации (TOTP), а у 8 из 11 — скомпрометировать аутентификацию с помощью ключей доступа (passkeys).
Среди уязвимых были названы конкретные продукты и их версии: 1Password, Apple iCloud Passwords 3.1.25, Bitwarden Password Manager 2025.7.0, Enpass 6.11.6, LastPass 4.146.3 и LogMeOnce 7.12.4. В исследовании также фигурировала версия 11.4.27, принадлежащая другому неуказанному менеджеру. Результаты исследования были независимо проверены и подтверждены фирмой по кибербезопасности Socket, которая обратилась в US-CERT для присвоения уязвимостям идентификаторов CVE.
Реакция разработчиков на обнаруженную угрозу разделилась. Компании Bitwarden, Enpass и Apple подтвердили, что активно работают над исправлением уязвимости в своих продуктах. В то же время, разработчики 1Password и LastPass пометили отчет как «информативный», что не предполагает немедленного выпуска исправления.
До тех пор, пока все разработчики не выпустят обновления безопасности, пользователям рекомендуется принять немедленные меры предосторожности. Наиболее надежный способ защиты — полностью отключить функцию автозаполнения в настройках менеджера паролей и вводить учетные данные вручную, используя копирование и вставку.
Для пользователей браузеров на базе Chromium (таких как Chrome, Edge, Brave) существует альтернативный метод защиты. В настройках расширений необходимо найти свой менеджер паролей и изменить параметр доступа к сайтам на «При нажатии на расширение» (on click). Эта настройка предотвращает автоматический запуск расширения на каждой веб-странице, требуя от пользователя явного клика по иконке расширения для активации функции автозаполнения.
Изображение носит иллюстративный характер
Суть атаки, относящейся к новому виду кликджекинга (UI redressing), заключается в манипуляции элементами интерфейса, которые расширения встраивают в Document Object Model (DOM) веб-страницы. Вредоносный скрипт на сайте атакующего делает эти элементы, такие как подсказки для автозаполнения, полностью невидимыми, устанавливая их прозрачность на нулевой уровень. Пользователь видит только легитимный интерфейс сайта, не подозревая о скрытом слое, на который на самом деле будет направлено его действие.
Практическая реализация атаки выглядит следующим образом: пользователь переходит на подконтрольный злоумышленнику сайт. На странице отображается навязчивый элемент, требующий клика — например, баннер о согласии с файлами cookie или всплывающее окно с кнопкой «Закрыть». Непосредственно под этой видимой кнопкой злоумышленник размещает невидимую форму входа. Когда пользователь нажимает на видимый элемент, его клик на самом деле регистрируется на скрытой форме. Менеджер паролей распознает эту форму и автоматически заполняет ее сохраненными учетными данными.
После автозаполнения логин и пароль немедленно отправляются на удаленный сервер злоумышленника. Критическим фактором, способствующим успеху атаки, является то, что все протестированные менеджеры паролей по умолчанию заполняли учетные данные не только на основном домене сайта, но и на всех его поддоменах. Это значительно расширяет поле для атаки, позволяя использовать, например, XSS-уязвимость на любом из поддоменов целевого ресурса.
Исследование Марека Тота охватило 11 популярных расширений для управления паролями, и все они оказались подвержены этой атаке. Статистика показала, что у 10 из 11 менеджеров паролей можно было похитить сохраненные учетные данные одним кликом. У 9 из 11 — украсть коды двухфакторной аутентификации (TOTP), а у 8 из 11 — скомпрометировать аутентификацию с помощью ключей доступа (passkeys).
Среди уязвимых были названы конкретные продукты и их версии: 1Password, Apple iCloud Passwords 3.1.25, Bitwarden Password Manager 2025.7.0, Enpass 6.11.6, LastPass 4.146.3 и LogMeOnce 7.12.4. В исследовании также фигурировала версия 11.4.27, принадлежащая другому неуказанному менеджеру. Результаты исследования были независимо проверены и подтверждены фирмой по кибербезопасности Socket, которая обратилась в US-CERT для присвоения уязвимостям идентификаторов CVE.
Реакция разработчиков на обнаруженную угрозу разделилась. Компании Bitwarden, Enpass и Apple подтвердили, что активно работают над исправлением уязвимости в своих продуктах. В то же время, разработчики 1Password и LastPass пометили отчет как «информативный», что не предполагает немедленного выпуска исправления.
До тех пор, пока все разработчики не выпустят обновления безопасности, пользователям рекомендуется принять немедленные меры предосторожности. Наиболее надежный способ защиты — полностью отключить функцию автозаполнения в настройках менеджера паролей и вводить учетные данные вручную, используя копирование и вставку.
Для пользователей браузеров на базе Chromium (таких как Chrome, Edge, Brave) существует альтернативный метод защиты. В настройках расширений необходимо найти свой менеджер паролей и изменить параметр доступа к сайтам на «При нажатии на расширение» (on click). Эта настройка предотвращает автоматический запуск расширения на каждой веб-странице, требуя от пользователя явного клика по иконке расширения для активации функции автозаполнения.
