alixixi 8 月 22 日消息,科技媒体 TechSpot 昨日(8 月 21 日)发布博文,报道称在 DEF CON 33 黑客大会上,安全研究员称六大主流密码管理器浏览器扩展(LastPass、1Password、Bitwarden、Enpass、iCloud Passwords 和 LogMeOnce)存在未修复的点击劫持(Clickjacking)漏洞,影响约 4000 万用户。
alixixi注:点击劫持是指攻击者通过在网页上覆盖透明或伪造的界面元素,比如假冒的同意框或 CAPTCHA,诱导用户点击,从而执行隐藏的恶意操作或泄露敏感信息。
用户误以为是在操作正常元素时,实际上触发了密码管理器的自动填充功能,导致账号密码、认证码甚至银行卡信息泄露,Tóth 的研究还展示了如何利用攻击脚本来识别浏览器中活跃的密码管理器,并调整攻击策略。
研究测试了 11 款主流密码管理器,六款存在明显漏洞,涉及 4000 万用户。Bitwarden 已在 2025.8.0 版本修复相关问题并推送更新;Enpass 此前推出部分缓解措施。
Dashlane、NordPass、Proton Pass、RoboForm 和 Keeper 等同行则已提前发布补丁。1Password 和 LastPass 初期仅将漏洞列为“信息性”问题,尚未紧急修复,LogMeOnce 暂无回应。
