Onderzoekers hebben een kwetsbaarheid ontdekt die het mogelijk maakt om met één klik gevoelige informatie uit browserextensies van wachtwoordmanagers te stelen.
Wachtwoordmanagers zijn doorgaans een goed beveiligde kluis, maar ze blijken één grote zwakte te hebben. Die is recent ontdekt door beveiligingsonderzoeker Marek Tóth. De kwetsbaarheid zorgt ervoor dat aanvallers met een simpele klik gegevens via browserextensies zouden kunnen stelen en treft verschillende populaire wachtwoordmanagers zoals 1Password, LastPass en iCloud.
De aanvalsmethode, omgedoopt tot als clickjacking, wordt in een blog uitvoerig beschreven. Via misbruik van de manier waarop browserextensies UI-elementen in webpagina’s injecteren, kunnen aanvallers gebruikersgegevens zoals logins, 2FA-codes, paswoorden, kredietkaartgegevens en persoonlijke informatie onderscheppen. Nog niet alle kwetsbare diensten hebben een patch uitgebracht.
Eén klik, meerdere datalekken
De aanval maakt gebruik van visuele manipulatie: aanvallers plaatsen onzichtbare invulformulieren onder zogenaamde ‘intrusieve’ elementen zoals cookie-banners of pop-ups. Wanneer de gebruiker bijvoorbeeld klikt op ‘Accepteer cookies’, activeert die onbewust het invulformulier dat door de wachtwoordmanager wordt ingevuld. De gegevens worden vervolgens doorgestuurd naar een server onder controle van de aanvaller.
Tóth testte elf wachtwoordmanagers en stelde vast dat alle in hun standaardconfiguratie kwetsbaar waren voor deze techniek. Zo bleek dat gegevens niet alleen op het hoofddomein, maar ook op subdomeinen automatisch worden ingevuld. Hierdoor volstaat één XSS-kwetsbaarheid om gebruikersgegevens te ontfutselen.
Wachten op een patch
Onder andere Bitwarden, Dashlane, NordPass, RoboForm, Keeper, Enpass en ProtonPass hebben inmiddels een patch uitgebracht. Maar op een reactie van 1Password, iCloud Passwords, LastPass, LogMeOnce en KeePassXC-Browser is het bijvoorbeeld nog wachten. Samen tellen deze wachtwoordmanagers tientallen miljoenen actieve gebruikers.
lees ook
Het incident te veel: is LastPass nog te vertrouwen?
Het beste advies is de update installeren als deze beschikbaar is. Verder kan je automatische invulfunctie uit te schakelen of de toegang tot extensies opnieuw instellen voor Chromium-gebaseerde browsers. Zo krijgt de gebruiker handmatige controle over wanneer en waar de extensie actief is.
De onderzoeker benadrukt dat de beschreven techniek breed toepasbaar is, en dat ook andere browserextensies zoals cryptowallets of notitie-extensies mogelijk kwetsbaar zijn. Totdat structurele beveiligingsmaatregelen worden ingebouwd in browserplatformen, blijft clickjacking via extensies een reële dreiging.