Principais gestores de passwords vulneráveis a ataques de clickjacking que roubam dados

Uma pesquisa conduzida por Marek Tóth e apresentada no início deste mês na conferência DEF CON, demostrou que as extensões de navegador de quase uma dúzia dos mais populares gestores de passwords são vulneráveis a ataques de clickjacking, uma falha que permite a extração de dados altamente confidenciais, como credenciais de acesso e informações de cartões de pagamento, exigindo, na maioria dos casos, apenas um único clique da vítima.

A pesquisa, detalhada numa publicação no blogue de Marek Tóth, visou as extensões de navegador de serviços como 1Password, Bitwarden, Dashlane, Enpass, Keeper, LastPass, LogMeOnce, NordPass, ProtonPass, RoboForm e até o serviço iCloud Passwords da Apple.

A popularidade destas ferramentas torna a descoberta particularmente preocupante. De acordo com o investigador, as extensões analisadas somam um total de quase 40 milhões de instalações ativas, com base em dados dos repositórios oficiais para os navegadores Chrome, Edge e Firefox.

O clickjacking é uma técnica de ataque em que um atacante engana o utilizador, levando-o a clicar em elementos ocultos numa página web. O atacante cria um site com botões ou outros elementos maliciosos, transparentes e sobrepostos a elementos aparentemente inofensivos. Quando a vítima interage com a página, está, na verdade, a clicar no elemento malicioso sem se aperceber.

No seu estudo, Marek Tóth demonstrou como um atacante pode usar o clickjacking baseado no DOM (Document Object Model) e a funcionalidade de preenchimento automático dos gestores de passwords para exfiltrar dados sensíveis, incluindo nomes de utilizador, palavras-passe e informações de cartões de pagamento.

A simplicidade da exploração é um dos pontos mais alarmantes. Os ataques demonstrados requerem entre zero a cinco cliques da vítima, sendo que a maioria necessita apenas de um único clique num elemento de aparência inofensiva. Os ataques de um clique exploravam frequentemente vulnerabilidades de XSS (Cross-Site Scripting) ou outras falhas.

O método de ataque demonstrado por Marek Tóth foca-se na manipulação de elementos da interface que as extensões de navegador injetam no DOM da página. “O princípio é que uma extensão de navegador injeta elementos no DOM, que um atacante pode tornar invisíveis usando JavaScript”, explicou o investigador.

Segundo Marek Tóth, alguns dos fornecedores já corrigiram as vulnerabilidades, mas no momento da divulgação, as correções ainda não tinham sido implementadas pela Bitwarden, 1Password, iCloud Passwords, Enpass, LastPass e LogMeOnce.

Contactada pelo site noticioso SecurityWeek, a Bitwarden informou que uma correção seria lançada esta semana na versão 2025.8.0. Além disso, a LogMeOnce também confirmou estar ciente das descobertas e já ter lançado um patch.

Por sua vez, a 1Password e a LastPass forneceram um contexto adicional sobre o problema. Jacob DePriest, CISO da 1Password, salientou que o clickjacking é uma técnica de ataque antiga que afeta a web de forma geral. “Como o problema subjacente está na forma como os navegadores renderizam as páginas, acreditamos que não há uma correção técnica abrangente que as extensões possam oferecer sozinhas”, afirmou.

A abordagem da 1Password, segundo DePriest, foca-se em dar mais controlo ao utilizador. A empresa já exige confirmação para o preenchimento de dados de pagamento e vai estender essa proteção a outros tipos de dados, permitindo que os utilizadores ativem alertas de confirmação para se manterem no controlo.

Alex Cox, Diretor de Inteligência de Ameaças da LastPass, partilhou uma visão semelhante, notando que a pesquisa “destaca um desafio mais amplo enfrentado por todos os gestores de passwords: encontrar o equilíbrio certo entre a experiência do utilizador e os modelos de ameaças em evolução”.

O responsável acrescentou ainda que a LastPass já implementou algumas proteções, como notificações pop-up antes do preenchimento de dados sensíveis, e incentivou os utilizadores a “permanecerem vigilantes, evitarem interagir com sobreposições ou pop-ups suspeitos e a manterem as suas extensões atualizadas”.