Kelemahan keselamatan yang meluas yang menjejaskan platform pengurusan kata laluan utama telah menyebabkan kira-kira 40 juta pengguna terdedah kepada serangan clickjacking yang canggih yang boleh mendedahkan kelayakan log masuk, kod pengesahan dua faktor, dan maklumat kewangan. Kelemahan ini, yang ditemui merentasi enam pengurus kata laluan terkemuka, menunjukkan bagaimana penyerang boleh memanipulasi sambungan pelayar untuk mencuri data sensitif melalui helah antara muka pengguna yang menipu.
 |
|---|
| Ilustrasi yang melambangkan kelemahan dalam sambungan pengurusan kata laluan seperti LastPass , 1Password , dan Bitwarden , menekankan ancaman serangan clickjacking |
Penemuan dan Skala Masalah
Penyelidik keselamatan Marek Tóth mendedahkan kelemahan kritikal ini di DEF CON 33 pada Ogos 2025, mendedahkan bahawa sambungan pelayar untuk 1Password , Bitwarden , Enpass , iCloud Passwords , LastPass , dan LogMeOnce semuanya mengandungi kelemahan yang boleh dieksploitasi. Penyelidikan ini, yang menguji 11 pengurus kata laluan popular secara keseluruhan, mendapati bahawa setiap produk menunjukkan kelemahan kepada sekurang-kurangnya satu teknik serangan. Tóth telah mendedahkan penemuan ini secara bertanggungjawab kepada semua syarikat yang terjejas pada April 2025, memberikan mereka beberapa bulan untuk membangunkan pembaikan sebelum pengumuman awam.
Bagaimana Serangan Clickjacking Berfungsi
Mekanisme serangan bergantung pada manipulasi canggih teknologi web untuk mencipta elemen halimunan atau lutsinar yang melapisi antara muka pengurus kata laluan yang sah. Penyerang mencipta laman web hasad yang mengandungi elemen palsu seperti sepanduk persetujuan kuki, borang CAPTCHA , atau skrin log masuk yang kelihatan tidak berbahaya kepada pengguna. Apabila mangsa berinteraksi dengan elemen yang kelihatan tidak berbahaya ini, klik mereka secara rahsia dialihkan kepada borang pengurus kata laluan tersembunyi, mencetuskan pengisian data automatik yang menghantar maklumat sensitif terus kepada pelayan yang dikawal penyerang.
Kaedah Eksploitasi Teknikal
Tóth menunjukkan pelbagai varian serangan semasa pembentangannya, termasuk manipulasi langsung elemen model objek dokumen, perubahan kelegapan elemen akar, dan teknik pelapisan antara muka separa atau penuh. Satu kaedah yang amat membimbangkan melibatkan menjadikan antara muka hasad mengikut kursor tetikus pengguna, memastikan bahawa sebarang klik di mana-mana sahaja pada halaman mencetuskan pengisian data automatik yang tidak diingini. Penyelidik juga membangunkan skrip serangan universal yang mampu mengenal pasti pengurus kata laluan mana yang aktif dalam pelayar mangsa dan menyesuaikan pendekatan serangan secara dinamik dalam masa nyata.
Kaedah Serangan Yang Ditunjukkan
- Manipulasi Kelegapan Elemen DOM Secara Langsung: Menjadikan elemen pengurus kata laluan menjadi lutsinar
- Manipulasi Kelegapan Elemen Akar: Mempengaruhi keterlihatan keseluruhan antara muka
- Manipulasi Kelegapan Elemen Induk: Menyasarkan elemen bekas
- Lapisan Separa/Penuh: Menutup elemen sah dengan yang palsu
- Pengekoran Kursor Tetikus: Elemen antara muka pengguna yang menjejaki pergerakan kursor untuk klik universal
- Skrip Serangan Universal: Secara automatik mengesan pengurus kata laluan yang aktif dan menyesuaikan serangan
Respons Vendor dan Status Semasa
Respons daripada syarikat pengurus kata laluan adalah bercampur-campur, mencerminkan pendekatan berbeza untuk menangani kebimbangan keselamatan ini. Bitwarden mengakui kelemahan dengan segera dan mengeluarkan pembaikan dalam versi 2025.8.0, yang sedang digunakan merentasi kedai sambungan pelayar. Walau bagaimanapun, kedua-dua 1Password dan LastPass pada mulanya mengklasifikasikan kelemahan yang dilaporkan sebagai informatif, menunjukkan mereka tidak menganggapnya sebagai isu keutamaan yang memerlukan pemulihan segera. LastPass kemudiannya menunjukkan ia sedang berusaha untuk menangani masalah sambil menekankan perlindungan sedia ada seperti gesaan pop-up sebelum mengisi data sensitif secara automatik.
Pengurus Kata Laluan dan Versi yang Terjejas
| Pengurus Kata Laluan | Versi Terjejas | Status |
|---|---|---|
| 1Password | 8.11.4.27 | Diklasifikasikan sebagai "maklumat" |
| Bitwarden | 2025.7.0 | Diperbaiki dalam versi 2025.8.0 |
| Enpass | 6.11.6 | Mitigasi separa telah dilaksanakan sebelum ini |
| iCloud Passwords | 3.1.25 | Status tidak jelas |
| LastPass | 4.146.3 | Sedang mengusahakan pembaikan |
| LogMeOnce | 7.12.4 | Tiada respons |
Kesan Industri dan Versi Terjejas
Kelemahan ini menjejaskan versi khusus setiap pengurus kata laluan, termasuk 1Password versi 8.11.4.27, Bitwarden versi 2025.7.0, Enpass versi 6.11.6, iCloud Passwords versi 3.1.25, LastPass versi 4.146.3, dan LogMeOnce versi 7.12.4. Terutamanya, beberapa pemain industri lain termasuk Dashlane , NordPass , Proton Pass , RoboForm , dan Keeper bertindak balas dengan cepat dengan tampung atau kemas kini sebelum pendedahan awam, menunjukkan bahawa pemulihan pantas adalah mungkin apabila vendor mengutamakan isu keselamatan ini.
Langkah Perlindungan Yang Disyorkan
Sehingga pembaikan menyeluruh dilaksanakan merentasi semua platform, pakar keselamatan mengesyorkan beberapa langkah perlindungan untuk pengguna pengurus kata laluan. Langkah segera yang paling berkesan melibatkan melumpuhkan fungsi pengisian automatik dalam sambungan pengurus kata laluan dan beralih kepada aliran kerja salin-tampal manual untuk mengendalikan kelayakan. Pengguna pelayar berasaskan Chromium harus mengkonfigurasi tetapan akses laman kepada mod atas klik, membenarkan kawalan manual ke atas fungsi pengisian automatik. Selain itu, mengekalkan kewaspadaan tinggi apabila menghadapi lapisan web yang mencurigakan, pop-up, atau elemen antara muka yang tidak dijangka boleh membantu mencegah serangan yang berjaya.
Langkah Perlindungan Segera
- Lumpuhkan Autofill: Matikan fungsi pengisian automatik dalam sambungan pengurus kata laluan
- Gunakan Copy-Paste: Salin dan tampal kelayakan secara manual dan bukannya menggunakan autofill
- Konfigurasi Tetapan Pelayar: Tetapkan pelayar berasaskan Chromium kepada "on click" untuk akses sambungan
- Kemas Kini Perisian: Pastikan versi terkini pengurus kata laluan dipasang
- Berhati-hati: Berwaspada terhadap pop-up yang mencurigakan, lapisan bertindih, dan elemen antara muka
Implikasi Keselamatan Jangka Panjang
Penemuan ini menyerlahkan kebimbangan yang lebih luas tentang seni bina keselamatan sambungan pelayar dan cabaran melindungi data sensitif dalam persekitaran web yang semakin kompleks. Walaupun sesetengah vendor berhujah bahawa clickjacking mewakili risiko keselamatan web umum yang secara tradisinya dikurangkan oleh model keselamatan pelayar dan bukannya perisian pengurus kata laluan sahaja, demonstrasi serangan yang berjaya ini menunjukkan bahawa langkah perlindungan tambahan adalah perlu. Insiden ini menggariskan kepentingan audit keselamatan berkala untuk alat pengurusan kata laluan dan keperluan untuk piawaian seluruh industri yang menangani kelemahan khusus sambungan.