VU#516608 - 多个密码管理器易受点击劫持攻击
漏洞说明 VU#516608
首次发布日期:2025-10-17 | 最后修订日期:2025-10-17
概述
浏览器扩展密码管理器能够在网站上自动填充敏感信息,但容易遭受各种点击劫持攻击。这些攻击利用了网页与扩展注入的用户界面元素之间的信任关系。最新研究表明,文档对象模型(DOM)级操纵可以绕过许多标准的点击劫持防御措施,当用户访问恶意或受感染的网站时,多个密码管理器将面临风险。用户应及时安装供应商更新,并仔细权衡使用密码管理器功能(如自动填充敏感信息)的安全风险,这些功能以便利性换取潜在暴露。
技术描述
点击劫持是一种恶意技术,通常涉及诱骗用户点击看起来安全或正常的交互对象,使攻击者能够获取某种敏感信息或执行原本无法执行的操作。
尽管点击劫持是众所周知的攻击方式,在许多产品领域都有多种缓解措施,但仍会出现新的执行方法。与传统的基于iframe的点击劫持攻击不同,基于DOM的点击劫持利用了浏览器扩展有时允许将交互元素直接注入网站DOM的事实。MDN Web Docs将DOM描述为:
“构成网页文档结构和内容对象的数据表示。它表示页面,以便程序可以更改文档结构、样式和内容。DOM将文档表示为节点和对象;这样,编程语言就可以与页面进行交互。”
由于JavaScript能够操纵浏览器扩展注入的视觉元素,这些元素可以在用户不可见的情况下保留点击处理程序,从而使攻击者能够诱骗用户与密码管理器扩展功能进行交互。这种行为可以通过用户已经感到安全和熟悉的网站元素(如Cookie同意横幅、弹出广告或CAPTCHA提示)来引导。
技术影响
浏览器扩展密码管理器的成功点击劫持可能允许攻击者诱骗用户无意中泄露或自动填充凭据,导致对敏感账户和存储密码的未经授权访问。由于基于DOM的技术可以绕过常见防御措施,在缓解措施不断发展的同时,多个浏览器和密码管理器供应商仍然不同程度地面临风险。
解决方案
查看供应商信息部分,了解任何浏览器或密码管理器扩展的特定更新和缓解步骤。应用浏览器和密码管理器扩展供应商的最新更新。在适当的情况下,用户应考虑禁用或限制自动填充功能,或调整相关设置以减少在担心点击劫持暴露时的风险。用户还必须认识到,控制级别可能因产品而异,并且如果受信任的网站遭到破坏,点击劫持尝试可能发生在这些网站上。
致谢
感谢Marek Tóth展示该研究,感谢Jonathan Leitschuh向我们报告这项研究。本文档由Ben Koo撰写。
供应商信息
| 供应商 | 状态 |
|---|---|
| AgileBits | 未知 |
| Apple | 未知 |
| BitWarden, Inc. | 未知 |
| Dashlane | 未知 |
| Enpass Technologies Inc. | 未知 |
| LastPass | 未知 |
| LogMeOnce | 未知 |
参考资料
- https://marektoth.com/blog/dom-based-extension-clickjacking/
- https://socket.dev/blog/password-manager-clickjacking
- https://www.cnet.com/tech/services-and-software/you-may-not-want-to-use-your-password-managers-auto-fill-heres-why-and-what-to-do-instead/
- https://www.bleepingcomputer.com/news/security/major-password-managers-can-leak-logins-in-clickjacking-attacks/
- https://www.securityweek.com/password-managers-vulnerable-to-data-theft-via-clickjacking/