Популярные менеджеры паролей уязвимы

Браузерные плагины популярных менеджеров паролей оказались уязвимы к кликджекинг-атакам. А именно к эксплойту функциональности автозаполнения — юзер рискует в один клик не туда слить данные доступа злоумышленнику. Среди затронутых продуктов 1Password, Bitwarden, Enpass, iCloud Passwords, LastPass, LogMeOnce и другие.

Исследователь протестировал 11 менеджеров паролей, все оказались уязвимы к атаке в том или ином виде. Она сводится к манипуляциям прозрачностью элементов, наложением или событиями указателя, чтобы вынудить жертву кликнуть на скрытую форму с автозаполнением. Пока нет фиксов, рекомендуют ограничиться копипастом. В топе атак в 2025-м, конечно, ClickFix, но подстраховаться лишним не будет.

Между тем реакция разработчиков как всегда. Часть не ответили, часть выдали карточку “out-of-scope”. Шевелиться начали, только когда доклад ушёл на DefCon, и к делу подключилась ИБ-фирма, начавшая тыкать палочкой в вендоров и рассылать им письма формата “Ищите свои продукты в свежих CVE, которые мы зарегистрировали”. Но теперь шуму подняли достаточно, так что пошла глубокая озабоченность и фиксы. Классика.