安全研究员在DEF CON 33黑客大会上披露,现有六款被广泛采用的主流密码管理器,包括1Password、Bitwarden、Enpass、iCloud Passwords、LastPass和LogMeOnce,均存在尚未修复的点击劫持漏洞,可能被黑客利用来窃取用户的账号登录信息、二次验证(2FA)代码及信用卡数据。影响范围涉及数千万用户。
根据研究,攻击者可在嵌有恶意脚本的页面,通过叠加几乎不可见的HTML元素,诱导用户误点击密码管理器的自动填充按钮,进而导致敏感信息泄露。即便用户以为自己在操作普通的弹窗或验证码,实际上已触发了数据填充。
此次漏洞不仅影响所有基于浏览器的版本,还可通过如元素透明度调整、鼠标跟随界面等多种技巧进行利用。除Socket安全团队对研究结果予以验证外,所有受影响的厂商已于今年四月收到相关通报,但至今漏洞仍未修复。