Eine umfassende Sicherheitsanalyse hat kritische Clickjacking-Schwachstellen in sechs der weltweit meistgenutzten Passwort-Manager aufgedeckt. Diese Sicherheitslücken ermöglichen es Cyberkriminellen, sensible Benutzerdaten wie Passwörter, Zwei-Faktor-Authentifizierungscodes und vertrauliche Bankdaten zu stehlen. Betroffen sind schätzungsweise 40 Millionen Nutzer weltweit.
Forschungsergebnisse und betroffene Anwendungen
Der unabhängige Sicherheitsforscher Marek Toth präsentierte seine Erkenntnisse erstmals auf der renommierten Hacker-Konferenz DEF CON 33. Die Ergebnisse wurden anschließend von Experten der Firma Socket verifiziert und koordiniert an die betroffenen Anbieter weitergeleitet. Die identifizierten Schwachstellen betreffen die Browser-Versionen folgender Passwort-Manager:
Die Untersuchung deckte Sicherheitslücken in 1Password, Bitwarden, Enpass, iCloud Passwords, LastPass und LogMeOnce auf. Diese Anwendungen verwalten zusammen die digitalen Identitäten von Millionen von Nutzern und gelten als wesentliche Sicherheitskomponenten im modernen digitalen Alltag.
Funktionsweise der Clickjacking-Angriffe
Die entdeckten Schwachstellen nutzen eine raffinierte Kombination aus bösartigen Webseiten und XSS-kompromittierten Sites. Angreifer implementieren speziell entwickelte Skripte, die unsichtbare HTML-Elemente über die Benutzeroberfläche der Passwort-Manager legen.
Benutzer interagieren scheinbar mit harmlosen Website-Elementen wie Cookie-Bannern, Pop-up-Fenstern oder CAPTCHA-Eingaben. Tatsächlich aktivieren sie jedoch versteckte Autofill-Steuerungselemente, was zur unbeabsichtigten Preisgabe vertraulicher Informationen führt.
Technische Angriffsvarianten
Die Forschung dokumentierte verschiedene Exploitationstechniken, die unterschiedliche Grade der Benutzerinteraktion erfordern. Besonders besorgniserregend ist die Fähigkeit der Malware, den aktiven Passwort-Manager automatisch zu erkennen und die Angriffsstrategie entsprechend anzupassen.
Zu den identifizierten Methoden gehören direkte DOM-Transparenz-Manipulation, Root- und Parent-Element-Verschleierung sowie dynamische UI-Verfolgung. Diese Techniken ermöglichen es Angreifern, Benutzerinteraktionen präzise zu steuern und sensible Daten abzugreifen.
Herstellerreaktionen und Patch-Status
Die Reaktionen der betroffenen Unternehmen auf die Sicherheitsmeldungen variieren erheblich. 1Password klassifizierte den Bericht als „informativ“ und argumentierte, dass der Schutz vor Clickjacking in der Verantwortung der Nutzer liege.
LastPass bewertete den Bericht zunächst ähnlich, implementierte jedoch später Popup-Benachrichtigungen vor dem automatischen Ausfüllen von Bankdaten. Bitwarden erkannte die Problematik an und veröffentlichte Sicherheitsupdates in Version 2025.8.0.
Erfolgreiche Sicherheitsupdates
Mehrere Anbieter reagierten proaktiv auf die Bedrohung und veröffentlichten zeitnahe Patches. Dashlane implementierte Korrekturen in Version 6.2531.1, während NordPass, ProtonPass und RoboForm ebenfalls entsprechende Sicherheitsupdates bereitstellten. Keeper Security adressierte die Schwachstellen in Version 17.2.0.
Schutzmaßnahmen und Empfehlungen
Zur Risikominimierung empfehlen Cybersicherheitsexperten, die Autofill-Funktionen in Passwort-Managern zu deaktivieren und stattdessen auf manuelle Kopier- und Einfügevorgänge zu setzen. Zusätzlich ist die regelmäßige Aktualisierung von Browser-Erweiterungen auf die neuesten verfügbaren Versionen unerlässlich.
Diese Forschungsergebnisse unterstreichen die Notwendigkeit eines proaktiven Sicherheitsansatzes sowohl von Entwicklern als auch von Endnutzern. Die zeitnahe Identifikation und Behebung derartiger Schwachstellen bleibt ein kritischer Faktor für die Aufrechterhaltung robuster Cybersicherheit in einer zunehmend vernetzten digitalen Landschaft.