Password manager vulnerabili al clickjacking
Topic
Approfondimenti
Trending
tutti

Password manager vulnerabili al clickjacking

I password manager più noti sono vulnerabili ad un attacco di clickjacking che permette di rubare password e dati delle carte di credito dal browser.
Password manager vulnerabili al clickjacking
Sicurezza
I password manager più noti sono vulnerabili ad un attacco di clickjacking che permette di rubare password e dati delle carte di credito dal browser.
Gemini

Un ricercatore di sicurezza ha scoperto gravi vulnerabilità in 11 password manager che potrebbero essere sfruttate dai cybercriminali per rubare credenziali di login, codici OTP, dettagli delle carte di credito e altri dati personali. I rispetti sviluppatori sono stati informati del problema e la maggioranza di essi ha rilasciato un aggiornamento.

Attacco clickjacking alle estensioni per browser

Quando gli utenti accedono ad una pagina web trovano spesso elementi che bloccano l’accesso al contenuto, tra cui banner per il consenso dei cookie, notifiche push e CAPTCHA. Sono quindi necessari uno o più click per visualizzare il contenuto. Il clickjacking è una tecnica che permette di mostrare elementi fasulli tramite frame invisibili. L’utente crede di cliccare su elementi legittimi e consente ai cybercriminali di accedere ai dati memorizzati nel browser.

Il ricercatore Marek Tóth ha scoperto che le estensioni di 11 password manager sono vulnerabili a questa tecnica: 1Password, Bitwarden, Dashlane, Enpass, Keeper, iCloud Passwords, LastPass, LogMeOnce, NordPass, ProtonPass e RoboForm. I cybercriminali potrebbero inserire uno script nel codice HTML nella pagina che aggiunge un menu a discesa del riempimento automatico. Quando l’utente clicca ad esempio sul pulsante “Rifiuta tutto” del banner per i cookie, in realtà clicca sul menu invisibile e inserisce automaticamente le credenziali di login memorizzate nel password manager.

Il ricercatore ha dimostrato l’efficacia di diverse varianti dello stesso attacco, inclusa quella con elementi nascosti che seguono il puntatore del mouse (quindi non importa dove viene cliccato). Tutti i password manager elencati sono vulnerabili al clickjacking. Gli sviluppatori di Dashlane, Enpass, Keeper, LogMeOnce, NordPass, ProtonPass e RoboForm hanno già rilasciato il fix, mentre l’aggiornamento per Bitwarden e iCloud Passwords verrà rilasciato nei prossimi giorni.

LastPass ha dichiarato che gli utenti vengono avvisati quando usano il riempimento automatico, mentre 1Password ha comunicato che aggiungerà la richiesta di conferma per altri tipi di dati (attualmente c’è solo per i dati di pagamento). Il ricercatore consiglia la disattivazione del riempimento automatico.

Fonte: Bleeping Computer

Pubblicato il 24 ago 2025

Link copiato negli appunti

Ti potrebbe interessare

3 mesi gratis di NordVPN? Ecco l'offerta che stavi cercando

3 mesi gratis di NordVPN? Ecco l'offerta che stavi cercando
Cyber Week, sconto dell’80% su Ultimate VPN di TotalAV: solo 19€ per un anno

Cyber Week, sconto dell’80% su Ultimate VPN di TotalAV: solo 19€ per un anno
VPN senza limiti con poco più di 1 €/mese: una promo imperdibile (-90%)

VPN senza limiti con poco più di 1 €/mese: una promo imperdibile (-90%)
WormGPT e KawaiiGPT: LLM per cybercriminali

WormGPT e KawaiiGPT: LLM per cybercriminali
3 mesi gratis di NordVPN? Ecco l'offerta che stavi cercando

3 mesi gratis di NordVPN? Ecco l'offerta che stavi cercando
Cyber Week, sconto dell’80% su Ultimate VPN di TotalAV: solo 19€ per un anno

Cyber Week, sconto dell’80% su Ultimate VPN di TotalAV: solo 19€ per un anno
VPN senza limiti con poco più di 1 €/mese: una promo imperdibile (-90%)

VPN senza limiti con poco più di 1 €/mese: una promo imperdibile (-90%)
WormGPT e KawaiiGPT: LLM per cybercriminali

WormGPT e KawaiiGPT: LLM per cybercriminali
Luca Colantuoni
Pubblicato il
24 ago 2025
Link copiato negli appunti