נותבים לסיסמאות מחשפים מידע בהתקפת Clickjacking חדשה

מחקר חדש מזהיר שמיליוני משתמשים של מנהלי סיסמאות עשויים להיות פגיעים להתקפה מסוכנת בדפדפן בשם "DOM-based Extension Clickjacking."

החוקרת שעמדה מאחורי הממצאים הסבירה: "פריצת מערכת על ידי לחיצה עדיין מהווה איום אבטחה, אך נדרש שינוי מיישומי רשת לתוספי דפדפן, שהם יותר נפוצים בימינו (מנהלי סיסמאות, ארנקים קריפטוגרפיים ואחרים)."

התקפה פועלת על ידי הונאה של משתמשים ללחיצה על אלמנטים מזויפים, כולל חלונות קופצים של עוגיות וקאפצ'ה, בעוד תסריט בלתי נראה מאפשר בסודיות את פונקציית המילוי האוטומטי של מנהל הסיסמאות. החוקרים מסבירים כי לתוקפים הייתה צורך בלחיצה אחת בלבד כדי לגנוב מידע רגיש.

"לחיצה אחת בלבד בכל מקום באתר שנשלט על ידי התוקף יכולה לאפשר לתוקפים לגנוב את נתוני המשתמשים (פרטי כרטיס אשראי, נתונים אישיים, פרטי התחברות כולל TOTP)," מציין הדוח.

המחקרת בדקה 11 מנהלי סיסמאות מפוצים, כולל 1Password, Bitwarden, Dashlane, Keeper, LastPass, ו-iCloud Passwords. התוצאות היו מצופצפות: "כולם היו פגיעים ל-'DOM-based Extension Clickjacking'. עשרות מיליונים של משתמשים עשויים להיות בסיכון (~40 מיליון התקנות פעילות)."

הבדיקות חשפו ששה מנהלי סיסמאות מתוך תשעה חשפו פרטי כרטיסי אשראי, בעוד ששמונה מנהלים מתוך עשרה דלפו מידע אישי. יותר מכך, עשרה מתוך אחד-עשר מאפשרים למתקיפים לגנוב את האישורים שמורים לכניסה. בחלק מהמקרים, אפשר היה לפגוע אף בקודים של אימות דו-שלבי ומפתחות גישה.

אף שהודעה נשלחה לספקים באפריל 2025, החוקרים מעידים שחלקם, כמו Bitwarden, 1Password, iCloud Passwords, Enpass, LastPass, ו-LogMeOnce, עדיין לא תיקנו את הפגמים. זה מדאיג במיוחד מאחר שהתוצאה היא שהרבה כמו 32.7 מיליון משתמשים נשארים חשופים לתקיפה זו.

החוקרים הגיעו למסקנה: "הטכניקה שתוארה היא כללית ואני בדקתי אותה רק ב-11 מנהלי סיסמאות. ייתכן והרחבות אחרות שמשנות את ה-DOM גם הן פגיעות (מנהלי סיסמאות, ארנקים קריפטוגרפיים, הערות ועוד)."