Image by Volodymyr Kondriianenko, from Unsplash
Upravitelji lozinkama cure podatke u novom napadu Clickjacking
Vrijeme čitanja: 2 minuta
Ažurirano: Aug 21, 2025
-
![Kiara Fabbri]()
-
![Tim za lokalizaciju i prevođenje]()
Preveo Tim za lokalizaciju i prevođenje Usluge lokalizacije i prevođenja
Novo istraživanje upozorava da milijuni korisnika upravitelja lozinkama mogu biti ranjivi na opasnu zloupotrebu preglednika nazvanu “DOM-based Extension Clickjacking.”
U žurbi? Evo brzih činjenica:
- Napadači mogu prevariti korisnike da automatski popune podatke jednim lažnim klikom.
- Curenje podataka uključuje kreditne kartice, pristupne podatke i čak dvofaktorske kodove.
- 32,7 milijuna korisnika ostaje izloženo jer neki prodavatelji nisu ispravili greške.
Istraživačica koja stoji iza ovih nalaza objasnila je: “Clickjacking je još uvijek sigurnosna prijetnja, ali je nužno prebaciti se s web aplikacija na proširenja preglednika, koja su danas popularnija (upravitelji lozinki, kripto novčanici i drugi).”
Napad funkcionira tako da korisnike zavara da kliknu na lažne elemente, uključujući bannere za kolačiće i captcha pop-upove, dok nevidljiva skripta tajno omogućuje funkciju automatskog popunjavanja upravitelja lozinki. Istraživači objašnjavaju da su napadačima bili potrebni samo jedan klik da bi ukrali osjetljive informacije.
“Jedan klik bilo gdje na web mjestu pod kontrolom napadača mogao bi omogućiti napadačima da ukradu podatke korisnika (detalje kreditnih kartica, osobne podatke, podatke za prijavu, uključujući TOTP)”, navodi se u izvješću.
Istraživačica je testirala 11 popularnih upravitelja lozinkama, uključujući 1Password, Bitwarden, Dashlane, Keeper, LastPass i iCloud Passwords. Rezultati su bili alarmantni: “Svi su bili ranjivi na ‘DOM-based Extension Clickjacking’. Deseci milijuna korisnika mogli bi biti u opasnosti (~40 milijuna aktivnih instalacija).”
Testovi su otkrili da je šest upravitelja lozinkama od devet otkrilo podatke o kreditnim karticama, dok je osam upravitelja od deset propustilo osobne podatke. Nadalje, deset od jedanaest omogućilo je napadačima krađu pohranjenih podataka za prijavu. U nekim slučajevima, čak su i kodovi dvofaktorske autentifikacije i pristupni ključevi mogli biti kompromitirani.
Iako su dobavljači upozoreni u travnju 2025., istraživači napominju da neki od njih, poput Bitwardena, 1Passworda, iCloud lozinki, Enpassa, LastPassa i LogMeOncea, još uvijek nisu ispravili pogreške. To je posebno zabrinjavajuće jer ostavlja procijenjenih 32,7 milijuna korisnika izloženima ovom napadu.
Istraživači su zaključili: “Opisana tehnika je općenita i testirala sam je samo na 11 upravitelja lozinki. Ostali proširenja koja manipuliraju DOM-om su vjerojatno ranjivi (upravitelji lozinki, kripto novčanici, bilješke itd.).”
Prethodna Priča
Najnoviji članci 
