在 DEF CON 33 黑客大会上,安全研究员 Marek Tóth 披露,六大主流密码管理器浏览器扩展(LastPass、1Password、Bitwarden、Enpass、iCloud Passwords 和 LogMeOnce)存在未修复的点击劫持(Clickjacking)漏洞,影响约 4000 万用户。
攻击者通过在网页上覆盖透明或伪造的界面元素(如假冒的同意框、CAPTCHA 或弹出窗口),诱导用户点击,从而触发隐藏在背后的密码管理器自动填充功能,导致账号密码、认证码甚至银行卡信息泄露。
漏洞影响:
- 受影响产品:1Password(8.11.4.27)、LastPass(4.146.3)、Bitwarden(2025.7.0)、Enpass(6.11.6)、iCloud Passwords(3.1.25)、LogMeOnce(7.12.4)。
- 泄露数据:包括登录凭据(用户名、密码)、二次验证代码(TOTP)、信用卡信息(卡号、到期日期、安全码)及个人信息等。
对于上述漏洞,Bitwarden 已在 2025.8.0 版本 修复相关问题并推送更新;Dashlane、NordPass、Proton Pass、RoboForm 和 Keeper 等已提前发布补丁。Enpass 推出了部分缓解措施。
1Password 和 LastPass 初期仅将漏洞列为“信息性”问题,尚未紧急修复。LogMeOnce 暂无回应。
安全研究员建议受影响密码管理器用户,在漏洞修复前,禁用自动填充功能,改用复制/粘贴方式输入密码,以降低信息泄露风险。
暂无更多评论