Tiện ích LastPass, 1Password và Bitwarden dễ bị tấn công clickjacking
Lỗ hổng clickjacking đe dọa bảo mật của 40 triệu người dùng trên sáu nền tảng quản lý mật khẩu hàng đầu.
Nghiên cứu bởi nhà bảo mật Marek Tóth tại DEF CON 33 đã tiết lộ rằng các tiện ích mở rộng trình duyệt của sáu nền tảng quản lý mật khẩu, bao gồm LastPass và 1Password, dễ bị tổn thương trước các cuộc tấn công clickjacking cao cấp. Clickjacking, một kỹ thuật mà kẻ tấn công đặt các nút hoặc biểu mẫu vô hình lên nội dung trang web hợp pháp, khiến người dùng nhấp vào các phần tử ẩn mà không nhận ra. Điều này có thể để lộ dữ liệu nhạy cảm như đăng nhập, mã xác thực, và thông tin tài chính.
Tóth đã thông báo riêng cho các công ty bị ảnh hưởng vào tháng 4 năm 2025 và kế hoạch công bố tại DEF CON 33 vào tháng 8 cùng năm. Theo một công ty an ninh mạng có tên Socket, họ đã xác nhận những phát hiện này và đang làm việc với các nhà cung cấp để gán các nhận dạng lỗ hổng và phơi bày phổ biến (CVE) cho từng sản phẩm bị ảnh hưởng.
Trong số 11 quản lý mật khẩu phổ biến được thử nghiệm, mỗi sản phẩm đều thể hiện ít nhất một lỗ hổng đối với kỹ thuật tấn công được báo cáo. Mỗi nền tảng bị ảnh hưởng bao gồm 1Password, Bitwarden, Enpass, iCloud Passwords, LastPass và LogMeOnce phục vụ tổng cộng khoảng 40 triệu người dùng. Nhiều nhà cung cấp công nghệ khác trong ngành như Dashlane và NordPass đã nhanh chóng phát hành các bản vá hoặc cập nhật trước bài thuyết trình của Tóth.
Phản hồi của nhà cung cấp đối với phát hiện cũng đa dạng. Bitwarden đã thừa nhận các lỗ hổng và triển khai bản vá trong phiên bản 2025.8.0. Ngược lại, 1Password và LastPass ban đầu phân loại các lỗi đã báo cáo là "thông tin". Để tăng cường an toàn, các nhà nghiên cứu bảo mật khuyên người dùng vô hiệu hóa chức năng tự động điền trong các tiện ích mở rộng quản lý mật khẩu và nên cẩn trọng khi tương tác với các lớp phủ trang web mờ ám.
Nguồn: TechSpot, DEF CON, Bleeping Computer