I gestori di password rivelano dati in un nuovo attacco di Clickjacking

Image by Volodymyr Kondriianenko, from Unsplash

I gestori di password rivelano dati in un nuovo attacco di Clickjacking

Tempo di lettura: 2 Min.

Ultimo aggiornamento: Aug 21, 2025

Un nuovo studio avverte che milioni di utenti di gestori di password potrebbero essere vulnerabili a un pericoloso exploit del browser chiamato “DOM-based Extension Clickjacking”.

Hai fretta? Ecco i punti salienti:

  • Gli aggressori possono ingannare gli utenti a riempire automaticamente i dati con un solo finto click.
  • I dati trapelati includono carte di credito, credenziali di accesso e persino codici a due fattori.
  • 32,7 milioni di utenti rimangono esposti poiché alcuni fornitori non hanno corretto le vulnerabilità.

La ricercatrice dietro i risultati ha spiegato: “Il clickjacking è ancora una minaccia per la sicurezza, ma è necessario passare dalle applicazioni web alle estensioni del browser, che sono più popolari oggi (gestori di password, portafogli cripto e altri).”

L’attacco funziona ingannando gli utenti a fare clic su elementi falsi, tra cui banner dei cookie e pop-up captcha, mentre uno script invisibile abilita segretamente la funzione di completamento automatico del gestore delle password. I ricercatori spiegano che agli aggressori era sufficiente un solo clic per rubare informazioni sensibili.

“Un solo clic in qualsiasi punto di un sito web controllato dall’attaccante potrebbe permettere agli aggressori di rubare i dati degli utenti (dettagli della carta di credito, dati personali, credenziali di accesso incluso il TOTP),” afferma il rapporto.

La ricercatrice ha testato 11 popolari gestori di password, tra cui 1Password, Bitwarden, Dashlane, Keeper, LastPass e iCloud Passwords. I risultati sono stati allarmanti: “Tutti erano vulnerabili al ‘Clickjacking basato su DOM’. Decine di milioni di utenti potrebbero essere a rischio (~40 milioni di installazioni attive).”

I test hanno rivelato che sei gestori di password su nove hanno esposto i dettagli delle carte di credito, mentre otto gestori su dieci hanno rivelato informazioni personali. Inoltre, dieci su undici hanno permesso agli aggressori di rubare le credenziali di accesso memorizzate. In alcuni casi, persino i codici di autenticazione a due fattori e le chiavi di accesso potevano essere compromessi.

Sebbene i fornitori siano stati avvisati nell’aprile 2025, gli ricercatori fanno notare che alcuni di loro, come Bitwarden, 1Password, iCloud Passwords, Enpass, LastPass e LogMeOnce non hanno ancora risolto le lacune. Ciò è particolarmente preoccupante poiché sta lasciando esposti a questo attacco un numero stimato di 32,7 milioni di utenti.

Gli ricercatori hanno concluso: “La tecnica descritta è generale e l’ho testata solo su 11 gestori di password. Altre estensioni che manipolano il DOM sono probabilmente vulnerabili (gestori di password, portafogli crittografici, note ecc.).”

Hai apprezzato questo articolo?
Valutalo!
L'ho odiato Non mi è piaciuto Non male Molto bene! L'ho amato!

Siamo felici che ti sia piaciuto il nostro lavoro!

In qualità di stimato lettore, ti dispiacerebbe lasciare una recensione su Trustpilot? Richiede poco tempo e significa tantissimo per noi. Grazie mille!

Valutaci su Trustpilot
0 Votato da 0 utenti
Titolo
Commento
Grazie per la tua opinione!