Image by Volodymyr Kondriianenko, from Unsplash
Správci hesel únikem dat čelí novému útoku Clickjackingu
Doba čtení: 2 minut
Naposledy aktualizováno: Aug 21, 2025
-
![Kiara Fabbri]()
-
![Lokalizační a překladatelský tým]()
Překladatel Lokalizační a překladatelský tým Lokalizační a překladatelské služby
Nová studie varuje, že miliony uživatelů správců hesel by mohly být zranitelné vůči nebezpečnému prohlížečovému útoku nazvaném „DOM-based Extension Clickjacking.“
Máte naspěch? Zde jsou stručné informace:
- Útočníci mohou uživatele napálit na automatické vyplnění dat jedním falešným kliknutím.
- Uniklá data zahrnují kreditní karty, přihlašovací údaje a dokonce i kódy pro dvojúrovňové ověření.
- 32,7 milionu uživatelů zůstává vystavených, protože někteří dodavatelé nedokázali opravit chyby.
Výzkumník stojící za těmito zjištěními vysvětlil: „Clickjacking je stále bezpečnostní hrozbou, ale je nutné přejít od webových aplikací k prohlížečovým rozšířením, která jsou dnes populárnější (správci hesel, krypto peněženky a další).“
Útok funguje tak, že uživatele klame do toho, aby klikali na falešné prvky, včetně bannerů s cookies a vyskakovacích oken captcha, zatímco neviditelný skript potají aktivuje funkci automatického vyplňování správce hesel. Výzkumníci vysvětlují, že útočníkům stačilo jedno kliknutí k odcizení citlivých informací.
„Jedno kliknutí kdekoli na webové stránce kontrolované útočníkem by mohlo umožnit útočníkům krást uživatelská data (údaje o kreditních kartách, osobní údaje, přihlašovací údaje včetně TOTP),“ uvádí zpráva.
Výzkumnice testovala 11 populárních správců hesel, včetně 1Password, Bitwarden, Dashlane, Keeper, LastPass a iCloud Passwords. Výsledky byly alarmující: „Všechny byly zranitelné vůči ‚DOM-based Extension Clickjacking‘. Desítky milionů uživatelů mohou být v ohrožení (přibližně 40 milionů aktivních instalací).“
Testy odhalily, že šest správců hesel z devíti odhalilo údaje o kreditní kartě, zatímco osm správců z deseti odhalilo osobní informace. Navíc deset z jedenácti umožňovalo útočníkům ukrást uložené přihlašovací údaje. V některých případech mohly být ohroženy i kódy pro dvoufaktorové ověření a hlavní klíče.
Ačkoliv byli prodejci upozorněni v dubnu 2025, výzkumníci poznamenávají, že někteří z nich, jako jsou Bitwarden, 1Password, iCloud Passwords, Enpass, LastPass a LogMeOnce, dosud neopravili tyto chyby. To je obzvláště znepokojující, protože to vystavuje odhadovaných 32,7 milionu uživatelů této útocí.
Výzkumníci dospěli k závěru: „Popisovaná technika je obecná a já jsem ji testovala pouze na 11 správcích hesel. Další rozšíření manipulující s DOM jsou pravděpodobně zranitelná (správci hesel, krypto peněženky, poznámky atd.).“
Předchozí článek
Nejnovější články 
