VietNetwork.Vn

Các plugin quản lý mật khẩu phổ biến cho trình duyệt web đã được phát hiện dễ bị khai thác lỗ hổng bảo mật clickjacking, có thể bị khai thác để đánh cắp thông tin tài khoản, mã xác thực hai yếu tố (2FA) và thông tin thẻ tín dụng trong một số điều kiện nhất định.

Kỹ thuật này được nhà nghiên cứu bảo mật độc lập Marek Tóth, người đã trình bày những phát hiện tại hội nghị bảo mật DEF CON 33 hồi đầu tháng, gọi là clickjacking tiện ích mở rộng dựa trên Mô hình Đối tượng Tài liệu (DOM).


"Chỉ cần một cú nhấp chuột vào bất kỳ đâu trên trang web do kẻ tấn công kiểm soát cũng có thể cho phép kẻ tấn công đánh cắp dữ liệu của người dùng (thông tin thẻ tín dụng, dữ liệu cá nhân, thông tin đăng nhập, bao gồm cả TOTP)", Tóth nói. "Kỹ thuật mới này rất phổ biến và có thể được áp dụng cho các loại tiện ích mở rộng khác."

Clickjacking, còn được gọi là UI redressing, là một loại tấn công trong đó người dùng bị lừa thực hiện một loạt các hành động trên trang web có vẻ vô hại, chẳng hạn như nhấp vào các nút, nhưng thực tế, họ đang vô tình thực hiện theo lệnh của kẻ tấn công.

Kỹ thuật mới được Tóth trình bày chi tiết về cơ bản bao gồm việc sử dụng một tập lệnh độc hại để thao túng các thành phần giao diện người dùng (UI) trong trang web mà tiện ích mở rộng trình duyệt chèn vào DOM -- ví dụ, các lời nhắc tự động điền, bằng cách làm cho chúng vô hình bằng cách đặt độ mờ đục của chúng về 0.

Nghiên cứu tập trung cụ thể vào 11 tiện ích bổ sung trình duyệt quản lý mật khẩu phổ biến, từ 1Password đến iCloud Passwords, tất cả đều được phát hiện dễ bị tấn công bằng clickjacking dựa trên DOM. Tổng cộng, các tiện ích mở rộng này có hàng triệu người dùng.


Để thực hiện cuộc tấn công, tất cả những gì kẻ tấn công cần làm là tạo một trang web giả mạo với một cửa sổ bật lên xâm nhập, chẳng hạn như màn hình đăng nhập hoặc biểu ngữ đồng ý cookie, đồng thời nhúng một biểu mẫu đăng nhập vô hình sao cho khi nhấp vào trang web để đóng cửa sổ bật lên, thông tin đăng nhập sẽ được trình quản lý mật khẩu tự động điền và rò rỉ đến một máy chủ từ xa.

Tóth giải thích: "Tất cả các trình quản lý mật khẩu đều điền thông tin đăng nhập không chỉ vào tên miền 'chính' mà còn vào tất cả các tên miền phụ". "Kẻ tấn công có thể dễ dàng tìm thấy XSS hoặc các lỗ hổng khác và đánh cắp thông tin đăng nhập đã lưu trữ của người dùng chỉ bằng một cú nhấp chuột (10/11), bao gồm cả TOTP (9/11). Trong một số trường hợp, xác thực mật khẩu cũng có thể bị khai thác (8/11)."


Sau khi được tiết lộ một cách có trách nhiệm, sáu nhà cung cấp vẫn chưa phát hành bản sửa lỗi cho lỗi này:

1Password Password Manager 8.11.4.27
Apple iCloud Passwords 3.1.25
Bitwarden Password Manager 2025.7.0
Enpass 6.11.6
LastPass 4.146.3
LogMeOnce 7.12.4

Công ty bảo mật chuỗi cung ứng phần mềm Socket, đơn vị đã độc lập xem xét nghiên cứu này, cho biết Bitwarden, Enpass và iCloud Passwords đang tích cực khắc phục các lỗi, trong khi 1Password và LastPass đánh giá chúng là hữu ích. Công ty cũng đã liên hệ với US-CERT để chỉ định mã định danh CVE cho các sự cố đã xác định.

Cho đến khi có bản sửa lỗi, người dùng được khuyến cáo nên tắt chức năng tự động điền trong trình quản lý mật khẩu và chỉ sử dụng sao chép/dán.

"Đối với người dùng trình duyệt dựa trên Chromium, chúng tôi khuyến nghị cấu hình quyền truy cập trang web thành 'khi nhấp chuột' trong cài đặt tiện ích mở rộng", Tóth nói. "Cấu hình này cho phép người dùng kiểm soát thủ công chức năng tự động điền."