Falha em gerenciadores de senhas para navegadores expõe credenciais e dados de milhões de usuários

Pesquisadores descobriram que extensões de gerenciadores de senhas para navegadores, largamente utilizadas em todo o mundo, estão vulneráveis a uma nova forma de clickjacking. Essa técnica, quando explorada, pode ser usada para roubar credenciais de acesso, códigos de autenticação de dois fatores (2FA) e até mesmo dados de cartões de crédito.

A técnica foi batizada de "Document Object Model (DOM)-based extension clickjacking" pelo pesquisador de segurança Marek Tóth. Ele apresentou suas descobertas na conferência de segurança DEF CON 33. Em sua apresentação, Tóth explicou que um único clique em um site malicioso controlado por hackers é suficiente para roubar informações sigilosas dos usuários. O pesquisador também ressaltou que a técnica é genérica e pode ser aplicada a outros tipos de extensões.

Como funciona o ataque

O clickjacking, também conhecido como "UI redressing", é um tipo de ataque em que os usuários são levados a realizar ações em um site que parecem inofensivas, como clicar em um botão para fechar um pop-up. O que eles não sabem é que, ao fazer isso, estão inadvertidamente executando comandos maliciosos dos hackers.

A nova técnica detalhada por Tóth utiliza um script malicioso para manipular elementos de interface do usuário injetados no DOM por extensões de navegadores. Por exemplo, a janela de preenchimento automático. Para executar o ataque, o invasor torna a janela invisível definindo sua opacidade para zero.

A pesquisa de Tóth analisou 11 extensões de gerenciadores de senhas populares, incluindo 1Password e iCloud Passwords. Todas foram consideradas vulneráveis a essa nova forma de ataque. Coletivamente, essas extensões são usadas por milhões de pessoas, tornando o alcance do problema significativo.

O ataque é simples para um hacker executar. Ele só precisa criar um site falso com um pop-up intrusivo (como uma tela de login ou um banner de consentimento de cookies), e incorporar um formulário de login invisível na mesma página. Quando a vítima clica para fechar o pop-up, o gerenciador de senhas preenche automaticamente as informações de login no formulário invisível. Em seguida, os dados são roubados e enviados para o servidor do atacante.

Tóth explicou que todos os gerenciadores de senhas testados preenchiam as credenciais tanto no domínio principal quanto em todos os subdomínios. "Um hacker poderia facilmente encontrar vulnerabilidades como XSS ou outras falhas e roubar as credenciais armazenadas pelo usuário com um único clique", disse o pesquisador. Ele também destacou que a autenticação por passkey também poderia ser explorada em alguns cenários.

Vendors demoram a resolver o problema

Após a divulgação responsável das falhas, seis empresas ainda não lançaram correções. Entre elas, estão:

• 1Password Password Manager 8.11.4.27

• Apple iCloud Passwords 3.1.25

• Bitwarden Password Manager 2025.7.0

• Enpass 6.11.6

• LastPass 4.146.3

• LogMeOnce 7.12.4

A empresa de segurança Socket, que também analisou a pesquisa, informou que Bitwarden, Enpass e iCloud Passwords estão trabalhando ativamente nas correções. Já as empresas 1Password e LastPass classificaram a falha como apenas informativa, não indicando urgência na correção. A Socket também entrou em contato com a US-CERT para atribuir identificadores CVE para os problemas encontrados.

Recomendações de segurança

Até que as correções estejam disponíveis, é aconselhável que os usuários desabilitem a função de preenchimento automático de seus gerenciadores de senhas e usem apenas copiar e colar.

Para usuários de navegadores baseados em Chromium, Tóth recomenda configurar o acesso do site para a opção "ao clicar" nas configurações de extensão. "Essa configuração permite que os usuários controlem manualmente a funcionalidade de preenchimento automático", concluiu.

Via - THN