Исследование безопасности выявило серьезные уязвимости кликджекинга в шести наиболее популярных менеджерах паролей, которыми пользуются десятки миллионов людей по всему миру. Эксплуатация этих уязвимостей позволяет злоумышленникам похищать пароли, коды двухфакторной аутентификации и конфиденциальные банковские данные пользователей.
Детали исследования и масштаб проблемы
Независимый исследователь безопасности Марек Тот впервые представил свои выводы на хакерской конференции DEF CON 33, после чего эксперты компании Socket подтвердили результаты и помогли скоординировать процесс уведомления вендоров. В ходе тестирования были обнаружены уязвимости в браузерных версиях следующих менеджеров паролей:
• 1Password
• Bitwarden
• Enpass
• iCloud Passwords
• LastPass
• LogMeOnce
Общее количество пользователей уязвимых менеджеров паролей составляет около 40 миллионов человек, что делает данную проблему критически важной для глобальной кибербезопасности.
Механизм атаки кликджекинга
Атака основывается на эксплуатации уязвимостей через вредоносные веб-страницы или сайты, подверженные XSS-атакам и отравлению кеша. Злоумышленники используют специально разработанные скрипты для создания невидимых HTML-элементов, которые накладываются поверх интерфейса менеджера паролей.
Пользователь взаимодействует с кажущимися безобидными элементами страницы — баннерами cookie, всплывающими окнами или CAPTCHA, но фактически активирует скрытые элементы управления автозаполнением. Это приводит к непреднамеренному раскрытию конфиденциальной информации.
Варианты эксплуатации уязвимостей
Исследователь продемонстрировал несколько методов атаки:
• Прямая манипуляция прозрачностью DOM-элементов
• Манипуляция прозрачностью корневого и родительского элементов
• Частичное или полное наложение интерфейса
• Динамическое следование UI за курсором мыши
Особенно опасным является способность вредоносного скрипта автоматически определять активный менеджер паролей в браузере жертвы и адаптировать атаку в режиме реального времени.
Реакция производителей и статус исправлений
Несмотря на уведомление всех производителей еще в апреле 2025 года, реакция компаний оказалась неоднозначной. Представители 1Password классифицировали отчет как «информативный», утверждая, что защита от кликджекинга должна обеспечиваться самими пользователями.
Компания LastPass также сочла отчет информативным, но впоследствии внедрила popup-уведомления перед автозаполнением банковских данных. В Bitwarden признали проблему и выпустили исправления в версии 2025.8.0.
Успешные исправления
Ряд производителей оперативно отреагировал на угрозу и выпустил патчи:
• Dashlane — версия 6.2531.1 (1 августа)
• NordPass — исправления внедрены
• ProtonPass — уязвимости устранены
• RoboForm — патчи установлены
• Keeper — версия 17.2.0 (июль)
Рекомендации по защите
Для минимизации рисков эксперты рекомендуют пользователям отключить функцию автозаполнения в менеджерах паролей и использовать исключительно копирование и вставку данных. Также критически важно регулярно обновлять браузерные расширения до последних доступных версий.
Данное исследование подчеркивает важность проактивного подхода к безопасности со стороны как разработчиков, так и пользователей. Своевременное обнаружение и устранение подобных уязвимостей является ключевым фактором поддержания высокого уровня кибербезопасности в эпоху возрастающих цифровых угроз.
