Нещодавнє дослідження кібербезпеки розкрило серйозні загрози для мільйонів користувачів найпопулярніших менеджерів паролів. Експерти виявили критичні вразливості кликджекінгу в шести провідних рішеннях для управління паролями, які використовують понад 40 мільйонів людей worldwide. Ці недоліки дозволяють зловмисникам викрадати чутливі дані, включаючи паролі, коди двофакторної автентифікації та банківську інформацію.
Масштаб виявлених загроз безпеки
Незалежний дослідник безпеки Марек Тот представив результати своєї роботи на престижній хакерській конференції DEF CON 33. Його висновки підтвердила команда експертів компанії Socket, які допомогли координувати процес інформування постачальників програмного забезпечення.
Дослідження охопило браузерні версії наступних менеджерів паролів:
1Password, Bitwarden, Enpass, iCloud Passwords, LastPass та LogMeOnce – всі виявилися вразливими до атак кликджекінгу. Сукупна кількість користувачів цих платформ становить приблизно 40 мільйонів осіб, що робить цю проблему критично важливою для глобальної кібербезпеки.
Технічні аспекти атаки кликджекінгу
Механізм атаки базується на експлуатації вразливостей через шкідливі веб-сторінки або сайти, що піддалися XSS-атакам і отруєнню кешу. Кіберзловмисники створюють спеціально розроблені скрипти для генерації невидимих HTML-елементів, які накладаються поверх інтерфейсу менеджера паролів.
Користувач взаємодіє з нібито безпечними елементами сторінки – банерами cookie, спливаючими вікнами або CAPTCHA, але насправді активує приховані елементи керування автозаповненням. Це призводить до мимовільного розкриття конфіденційної інформації без відома користувача.
Методи експлуатації вразливостей
Дослідник продемонстрував кілька sophisticated методів атаки, включаючи пряму маніпуляцію прозорістю DOM-елементів, маніпуляцію кореневими та батьківськими елементами, часткове або повне накладення інтерфейсу, а також динамічне слідування UI за курсором миші.
Особливо небезпечною є здатність шкідливого скрипта автоматично визначати активний менеджер паролів в браузері жертви та адаптувати атаку в режимі реального часу, що значно підвищує ймовірність успішної компрометації.
Реакція виробників та поточний статус виправлень
Незважаючи на своєчасне повідомлення всіх виробників у квітні 2025 року, реакція компаній виявилася неоднорідною. Представники 1Password класифікували звіт як “інформативний”, стверджуючи, що захист від кликджекінгу повинен забезпечуватися самими користувачами.
Компанія LastPass також спочатку вважала звіт інформативним, але згодом впровадила popup-повідомлення перед автозаповненням банківських даних. У Bitwarden визнали проблему та випустили виправлення у версії 2025.8.0.
Успішні виправлення безпекових недоліків
Кілька виробників оперативно відреагували на загрозу: Dashlane випустив виправлення у версії 6.2531.1, NordPass, ProtonPass та RoboForm впровадили необхідні патчі, а Keeper усунув вразливості у версії 17.2.0.
Практичні рекомендації щодо захисту
Для мінімізації ризиків експерти наполегливо рекомендують користувачам відключити функцію автозаповнення в менеджерах паролів та використовувати виключно копіювання і вставлення даних. Критично важливо регулярно оновлювати браузерні розширення до найновіших доступних версій.
Це дослідження підкреслює важливість проактивного підходу до безпеки як з боку розробників, так і користувачів. Своєчасне виявлення та усунення подібних вразливостей є ключовим фактором підтримання високого рівня кібербезпеки в епоху зростаючих цифрових загроз. Користувачам слід залишатися пильними та регулярно перевіряти налаштування безпеки своїх менеджерів паролів.
