Flera populära lösenordshanterare är sårbara för en ny typ av clickjacking-attack upptäckt av tjeckiska säkerhetsforskaren Marek Tóth. Han presenterade sina fynd på Def Con 33, och fynden har även bekräftats av Socket.
Den nyskapande attacken använder manipulation av DOM-element via javascript för att dölja lösenordshanterarens gränssnitt och fånga användarens klick på till exempel en kakdialog, så att det istället aktiverar autofyll av någon typ av information lagrad i lösenordshanteraren.
Vilken typ av information som går att komma åt beror på huruvida hackaren har tillgång till en server på samma domän som målet (exempelvis google.com) och huruvida användaren har autofyll inställt på att enbart fylla i på den exakta domänen och inte underdomäner.
Marek Tóth visar på sin blogg flera olika varianter av attacken, med exempel på hur olika populära lösenordshanterare är sårbara. Han gjorde upptäckten i våras och har varit i kontakt med utvecklarna av tio av de elva lösenordshanterare han testade attacken i. I skrivande stund är 1Password, Lastpass, Logmeonce, Enpass och Apples Icloud Passwords-tillägg för Chromiumbaserade webbläsare fortfarande sårbara, medan bland annat Bitwarden och Protonpass har släppt fixar.
1Password skriver i ett inlägg på sitt supportforum att det inte finns någon universallösning som utvecklare av tillägg kan använda för att helt skydda användare. En möjlig lösning för adresser och andra personuppgifter är att visa en bekräftelsedialog utanför webbplatsen innan tillägget fyller i dem, men 1Passwords utvecklare har testat det och fann att det gav för mycket friktion för användarna.
Sårbarheten gäller framför allt lösenordshanterare som kan fylla i namn, adress och andra uppgifter som inte är kopplade till en viss domän. Några lösenordshanterare fyller även i betalkortsuppgifter utan ytterligare bekräftelse. För namn och lösenord, som är låsta till en domän, måste hackaren ha kontroll över en webbplats på samma domän. Nycklar påverkas inte, och den som vill vara extra försiktig kan alltså ställa in autofyll-funktionen att enbart fungera på exakta domäner.
