Image by Volodymyr Kondriianenko, from Unsplash
Мениджърите на пароли разкриват данни в нова атака тип „Clickjacking“
Време за четене: 2 мин.
Последно обновени: Aug 21, 2025
-
![Киара Фабри]()
-
![Екипът за локализация и преводи]()
Превод от Екипът за локализация и преводи Услуги за локализация и преводи
Ново изследване предупреждава, че милиони потребители на мениджъри за пароли могат да бъдат уязвими към опасна злоупотреба с браузъра, наречена „DOM-базирано разширение на Clickjacking“.
В бягство? Ето някои бързи факти:
- Атакуващите могат да измамят потребителите да попълнят данни автоматично с едно фалшиво кликване.
- Публикуваните данни включват кредитни карти, данни за вход и дори двуфакторни кодове.
- 32.7 милиона потребители остават изложени, тъй като някои доставчици не са коригирали проблеми.
Изследователят, стоящ зад изследванията, обясни: „Clickjacking все още представлява заплаха за сигурността, но е необходимо да се премине от уеб приложения към разширения за браузъри, които са по-популярни в наши дни (управители на пароли, крипто портфейли и други).“
Атаката работи, като заблуждава потребителите да кликнат на фалшиви елементи, включително банери с бисквитки и изскачащи прозорци за captcha, докато невидим скрипт тайно активира функцията за автоматично попълване на мениджъра за пароли. Изследователите обясняват, че нападателите се нуждаят само от едно кликване, за да откраднат чувствителна информация.
„Единствено кликване някъде на сайта, контролиран от нападател, би могло да позволи на нападателите да откраднат данни на потребителите (детайли за кредитни карти, лични данни, данни за вход, включително TOTP)“, се казва в доклада.
Изследователят тества 11 популярни мениджъри за пароли, включително 1Password, Bitwarden, Dashlane, Keeper, LastPass и iCloud Passwords. Резултатите бяха тревожни: „Всички бяха уязвими към ‘DOM-базирано разширение на Clickjacking’. Десетки милиони потребители биха могли да бъдат изложени на риск (~40 милиона активни инсталации).“
Тестовете показаха, че шест мениджъра на пароли от девет излагаха данни за кредитни карти, докато осем мениджъра от десет изтичаха лична информация. Освен това, десет от единадесет позволяваха на нападателите да откраднат запазените данни за вход. В някои случаи, дори двуфакторните кодове за удостоверяване и ключове за достъп можеха да бъдат компрометирани.
Въпреки че доставчиците бяха предупредени през април 2025 г., изследователите отбелязват, че някои от тях, като Bitwarden, 1Password, iCloud Passwords, Enpass, LastPass и LogMeOnce, все още не са поправили грешките. Това е особено тревожно, тъй като оставя около 32,7 милиона потребители изложени на тази атака.
Изследователите заключиха: „Описаният метод е общ и аз го тествах само върху 11 мениджъра на пароли. Други разширения, които променят DOM, вероятно също са уязвими (мениджъри на пароли, крипто портфейли, бележки и т.н.).”
Предишна история
Последни статии 
