Hogyan működik a támadás?
Nem hagyható figyelmen kívül, hogy a legtöbb böngészőalapú jelszókezelő úgy készült, hogy megkönnyítse a felhasználók életét az automatikus kitöltés funkcióval. Ezt használja ki az úgynevezett clickjacking: a támadó egy ártalmatlannak tűnő oldalra rejt egy átlátszó HTML-elemet, amit a felhasználó véletlenül aktivál. Így a jelszókezelő automatikusan beírja az érzékeny adatokat a támadó számára hozzáférhető felületre.
Ez a módszer többféle technikával működik, például a DOM (Document Object Model – Dokumentum Objektum Modell) manipulálásával, fedőréteg (overlay) trükkökkel, vagy akár úgy is, hogy a vékony réteg követi az egérkattintást, bármilyen felületen jelenik is meg az oldalon. A támadók képesek felismerni, melyik jelszókezelő fut a böngészőben, és ehhez igazítják valós időben a támadást.
Kik az érintettek?
A legnépszerűbb jelszókezelők, mint az 1Password, Bitwarden, Enpass, iCloud Passwords, LastPass és LogMeOnce jelenlegi böngészőbővítmény-verziói is érintettek. Az érintett verziók közé tartozik például az 1Password 8.11.4.27, a Bitwarden 2025.7.0, az Enpass 6.11.6, az iCloud Passwords 3.1.25, a LastPass 4.146.3 és a LogMeOnce 7.12.4.
Bár néhány fejlesztő – például a Dashlane (6.2531.1, augusztus 1-jén), NordPass, ProtonPass, RoboForm és Keeper (17.2.0, júliusban) – már kijavította a hibákat, sokaknál még mindig fennáll a veszély. A Bitwarden a 2025.8.0-s verzióban jelentette be a javítást. Mindezek ellenére a LogMeOnce például sokáig nem reagált a figyelmeztetésekre.
Gyártói reakciók és védekezési javaslatok
A fejlesztőkkel hónapok óta zajlik az egyeztetés a javításokról, ám több gyártó – köztük az 1Password és a LastPass – elsősorban felhasználói óvatosságot javasol. Szerintük a clickjacking általános internetes veszély, amely ellen nem létezik teljes körű technikai védekezés böngészőbővítmények szintjén. A LastPass kiemelte, hogy több biztonsági figyelmeztetést is beépítettek, például automatikus felugró értesítést a hitelkártyaadatok kitöltése előtt. Ettől függetlenül mindenkit arra kérnek, hogy tartsa naprakészen a bővítményeket, és kerülje az ismeretlen fedőrétegekkel vagy felugró ablakokkal történő interakciót.
Egyelőre az igazi megoldást a felhasználói tudatosság jelentheti: érdemes kikapcsolni az automatikus kitöltés funkciót, és szükség esetén inkább a másolás/beillesztés lehetőségével élni.
Következmények és tanulságok
Ebből következik, hogy a jelszókezelők nem védhetnek meg mindentől automatikusan – nagy szükség van a felhasználók éberségére és a rendszeres szoftverfrissítésre. Az MI-kutatók és etikus hackerek munkája nemcsak a hibák feltárásában, hanem a felhasználói szemlélet formálásában is nélkülözhetetlen. Csak így lehet megfékezni az internetes adatlopás egyre kifinomultabb trükkjeit.
