Se han incompatible complementos populares de Administrador de contraseñas para navegadores web susceptibles a las vulnerabilidades de seguridad de Clickjacking que podrían explotarse para robar credenciales de cuentas, códigos de autenticación de dos factores (2FA) y detalles de la polímero de crédito bajo ciertas condiciones.
La técnica ha sido denominada Docum Object Model (DOM) Extension Clickjacking por el investigador de seguridad independiente Marek Tóth, quien presentó los hallazgos en la Conferencia de Seguridad Def Con 33 a principios de este mes.
“Un solo clic en cualquier puesto en un sitio web controlado por los atacantes podría permitir a los atacantes robar los datos de los usuarios (datos de la polímero de crédito, datos personales, credenciales de inicio de sesión, incluido TOTP)”, dijo Tóth. “La nueva técnica es normal y se puede aplicar a otros tipos de extensiones”.
Clickjacking, incluso llamado UI Reparación, se refiere a un tipo de ataque en el que los usuarios son engañados para realizar una serie de acciones en un sitio web que parecen aparentemente inofensivos, como hacer clic en los ordenanza, cuando, en ingenuidad, realizan inadvertidamente las ofertas del atacante.
La nueva técnica detallada por Tóth implica esencialmente el uso de un script malvado para manipular fundamentos de la interfaz de usufructuario en una página web que el navegador de las extensiones inyecte en el DOM, por ejemplo, las indicaciones de relleno automáticamente, haciéndolos invisibles al establecer su opacidad en cero.
La investigación se centró específicamente en 11 complementos populares del navegador de contraseñas Administrador, que van desde 1 paso de paso hasta contraseñas de iCloud, todas las cuales se han incompatible susceptibles al clickjacking de extensión basado en DOM. Colectivamente, estas extensiones tienen millones de usuarios.
Para conquistar el ataque, todo lo que tiene un mal actor tiene que hacer es crear un sitio ficticio con una ventana emergente intrusiva, como una pantalla de inicio de sesión o un banner de consentimiento de cookies, mientras que el administrador de contraseñas incrusta un formulario de inicio de sesión invisible de tal forma que hacer clic en el sitio para cerrar la ventana emergente hace que la información de la credencial se llene automáticamente y se exfilice a un servidor remoto.
“Todos los administradores de contraseñas llenaron credenciales no solo al dominio ‘principal’, sino incluso a todos los subdominios”, explicó Tóth. “Un atacante podría encontrar fácilmente XSS u otras vulnerabilidades y robar las credenciales almacenadas del usufructuario con un solo clic (10 de 11), incluido TOTP (9 de 11). En algunos escenarios, la autenticación de PassKey incluso podría explotarse (8 de 11)”.
Posteriormente de la divulgación responsable, seis de los proveedores aún no han libertino correcciones para el defecto –
- 1Password Password Manager 8.11.4.27
- Apple iCloud Passwords 3.1.25
- BitWarden Password Manager 2025.7.0
- Enpass 6.11.6
- LastPass 4.146.3
- Logmeonce 7.12.4
La firma de seguridad de la esclavitud de suministro de software Socket, que revisó de forma independiente la investigación, dijo que las contraseñas de Bitwarden, Enpass e iCloud están trabajando activamente en correcciones, mientras que 1Password y LastPass las marcaron como informativas. Incluso se ha comunicado con US-Cert para asignar identificadores CVE para los problemas identificados.
Hasta que las correcciones estén disponibles, se recomienda que los usuarios desacten la función de relleno involuntario en sus administradores de contraseñas y solo usen copiar/pegar.
“Para los usuarios de navegador basados en Chromium, se recomienda configurar el paso del sitio a ‘en clic’ en la configuración de extensión”, dijo Tóth. “Esta configuración permite a los usuarios controlar manualmente la funcionalidad de relleno involuntario”.
