Image by Volodymyr Kondriianenko, from Unsplash
Οι Διαχειριστές Κωδικών Πρόσβασης Διαρρέουν Δεδομένα σε Νέα Επίθεση Clickjacking
Reading Time: 2 min
First published Aug 21, 2025
Updated 2 times since publishing
-
![Kiara Fabbri]()
-
![Ομάδα Τοπικής Προσαρμογής και Μετάφρασης]()
Translated by Ομάδα Τοπικής Προσαρμογής και Μετάφρασης Υπηρεσίες Τοπικής Προσαρμογής και Μετάφρασης
Μια νέα μελέτη προειδοποιεί ότι εκατομμύρια χρήστες διαχειριστών κωδικών πρόσβασης θα μπορούσαν να είναι ευάλωτοι σε μια επικίνδυνη εκμετάλλευση προγράμματος περιήγησης που ονομάζεται «DOM-based Extension Clickjacking».
Βιάζεστε; Εδώ είναι τα γρήγορα γεγονότα:
- Οι επιτιθέμενοι μπορούν να εξαπατήσουν τους χρήστες να συμπληρώνουν αυτόματα τα δεδομένα με ένα ψεύτικο κλικ.
- Τα διαρρεύσαντα δεδομένα περιλαμβάνουν πιστωτικές κάρτες, στοιχεία εισόδου και ακόμη και διπλούς κωδικούς επιβεβαίωσης.
- 32,7 εκατομμύρια χρήστες παραμένουν εκτεθειμένοι καθώς ορισμένοι προμηθευτές δεν έχουν διορθώσει τις ελλείψεις.
Η ερευνήτρια πίσω από τα ευρήματα εξήγησε: «Το Clickjacking είναι ακόμη μια απειλή για την ασφάλεια, αλλά είναι απαραίτητο να μεταβούμε από τις εφαρμογές ιστού στις επεκτάσεις του προγράμματος περιήγησης, τα οποία είναι πιο δημοφιλή σήμερα (διαχειριστές κωδικών πρόσβασης, κρυπτογραφικά πορτοφόλια και άλλα).»
Η επίθεση λειτουργεί παραπλανώντας τους χρήστες να κάνουν κλικ σε ψευδείς στοιχεία, συμπεριλαμβανομένων των πανό cookies και των αναδυόμενων παραθύρων captcha, ενώ ένα αόρατο σενάριο ενεργοποιεί μυστικά τη λειτουργία αυτόματης συμπλήρωσης του διαχειριστή κωδικών πρόσβασης. Οι ερευνητές εξηγούν ότι στους επιτιθέμενους χρειάστηκε μόνο ένα κλικ για να κλέψουν ευαίσθητες πληροφορίες.
“Ένα μόνο κλικ οπουδήποτε σε μια ιστοσελίδα που ελέγχεται από τον επιτιθέμενο θα μπορούσε να επιτρέψει στους επιτιθέμενους να κλέψουν τα δεδομένα των χρηστών (στοιχεία πιστωτικής κάρτας, προσωπικά δεδομένα, στοιχεία σύνδεσης συμπεριλαμβανομένου του TOTP),” αναφέρει η έκθεση.
Ο ερευνητής δοκίμασε 11 δημοφιλείς διαχειριστές κωδικών πρόσβασης, συμπεριλαμβανομένων των 1Password, Bitwarden, Dashlane, Keeper, LastPass και iCloud Passwords. Τα αποτελέσματα ήταν ανησυχητικά: «Όλοι ήταν ευάλωτοι στο ‘DOM-based Extension Clickjacking’. Δεκάδες εκατομμύρια χρήστες θα μπορούσαν να είναι σε κίνδυνο (~ 40 εκατομμύρια ενεργές εγκαταστάσεις).»
Οι δοκιμές αποκάλυψαν ότι έξι διαχειριστές κωδικών πρόσβασης από τους εννέα διέρρευσαν λεπτομέρειες πιστωτικών καρτών, ενώ οκτώ διαχειριστές από τους δέκα διέρρευσαν προσωπικές πληροφορίες. Επιπλέον, δέκα από τους έντεκα επέτρεπαν στους επιτιθέμενους να κλέβουν αποθηκευμένα διαπιστευτήρια σύνδεσης. Σε κάποιες περιπτώσεις, ακόμη και οι κωδικοί δύο παραγόντων επαλήθευσης και τα περαστικά θα μπορούσαν να καταστούν ευάλωτα.
Παρά το γεγονός ότι οι πωλητές ενημερώθηκαν τον Απρίλιο του 2025, οι ερευνητές σημειώνουν ότι μερικοί από αυτούς, όπως το Bitwarden, το 1Password, τα iCloud Passwords, το Enpass, το LastPass και το LogMeOnce, δεν έχουν ακόμη διορθώσει τις ατέλειες. Αυτό είναι ιδιαίτερα ανησυχητικό, καθώς αφήνει έναν εκτιμώμενο αριθμό 32.7 εκατομμυρίων χρηστών εκτεθειμένους σε αυτή την επίθεση.
Οι ερευνητές συμπέραναν: «Η περιγραφόμενη τεχνική είναι γενική και τη δοκίμασα μόνο σε 11 διαχειριστές κωδικών πρόσβασης. Άλλες επεκτάσεις που επεξεργάζονται το DOM είναι πιθανώς ευάλωτες (διαχειριστές κωδικών πρόσβασης, κρυπτογραφικά πορτοφόλια, σημειώσεις κλπ.).»
Previous Story
Latest Articles 
