S’ha trobat que els connectors populars del gestor de contrasenyes per als navegadors web són susceptibles de fer clic a vulnerabilitats de seguretat que es podrien explotar per robar credencials del compte, codis d’autenticació de dos factors (2FA) i detalls de la targeta de crèdit en determinades condicions.

La tècnica s’ha anomenat Document Object Model (DOM, clickjacking basat en extensions) per l’investigador de seguretat independent Marek Tóth, que va presentar les conclusions a la conferència de seguretat DEF CON 33 a principis d’aquest mes.

«Un sol clic a qualsevol lloc d’un lloc web controlat per un atacant podria permetre que els atacants robin les dades dels usuaris (detalls de la targeta de crèdit, dades personals, credencials d’inici de sessió, inclòs TOTP)», va afirmar en Tóth. «La nova tècnica és general i es pot aplicar a altres tipus d’extensions.»

El clickjacking, també anomenat UI redressing, fa referència a un tipus d’atac en què els usuaris són enganyats perquè facin una sèrie d’accions en un lloc web que semblen aparentment inofensives, com ara fer clic a botons, quan, en realitat, estan realitzant sense voler les ordres de l’atacant.

La nova tècnica que detalla Tóth consisteix essencialment a fer servir un script maliciós per manipular elements de la interfície d’usuari en una pàgina web que les extensions del navegador injecten al DOM, per exemple, les sol·licituds d’emplenament automàtic, fent-les invisibles posant la seva opacitat a zero.

La investigació es va centrar específicament en 11 complements populars del navegador del gestor de contrasenyes, que van des d’1Password fins a contrasenyes d’iCloud, tots els quals s’han trobat susceptibles al clic d’extensió basat en DOM. En conjunt, aquestes extensions tenen milions d’usuaris.

Per aconseguir l’atac, tot el que ha de fer el ciberdelinqüent és crear un lloc fals amb una finestra emergent intrusiva, com ara una pantalla d’inici de sessió o un bàner de consentiment de galetes, mentre incrusta un formulari d’inici de sessió invisible de manera que fer clic al lloc per tancar la finestra emergent fa que el gestor de contrasenyes ompli automàticament la informació de la credencial i s’exfiltra a un servidor remot.

«Tots els gestors de contrasenyes van omplir les credencials no només al domini ‘principal’, sinó també a tots els subdominis», va explicar Tóth. «Un atacant podria trobar fàcilment XSS o altres vulnerabilitats i robar les credencials emmagatzemades de l’usuari amb un sol clic (10 d’11), inclòs TOTP (9 d’11). En alguns escenaris, també es podria explotar l’autenticació de la passkey (8 d’11).”

Després de la divulgació responsable, sis dels venedors encara no han publicat solucions per al defecte:

• 1Password Password Manager 8.11.4.27
• Apple iCloud Passwords 3.1.25
• Bitwarden Password Manager 2025.7.0
• Enpass 6.11.6
• LastPass 4.146.3
• LogMeOnce 7.12.4

L’empresa de seguretat de la cadena de subministrament de programari Socket, que va revisar de manera independent la investigació, va dir que Bitwarden, Enpass i iCloud Passwords estan treballant activament en solucions, mentre que 1Password i LastPass les van marcar com a informatives. També s’ha posat en contacte amb US-CERT per assignar identificadors CVE per als problemes identificats.

Fins que no hi hagi correccions disponibles, s’aconsella que els usuaris desactivin la funció d’emplenament automàtic als seus gestors de contrasenyes i només utilitzin copiar/enganxar.

«Per als usuaris de navegadors basats en Chromium, es recomana configurar l’accés al lloc amb ‘clic’ a la configuració de l’extensió», va dir Tóth. «Aquesta configuració permet que els usuaris controlin manualment la funcionalitat d’emplenament automàtic.»

Actualització#

Bitwarden ha llançat la versió 2025.8.0 del gestor de contrasenyes per abordar les vulnerabilitats de clickjacking. També aconsella als usuaris que prestin molta atenció als URL dels llocs web i estiguin alerta a les campanyes de pesca per evitar llocs web maliciosos.