Altı büyük şifre yöneticisi DOM tabanlı clickjacking açıklarıyla hesap bilgilerini, 2FA kodlarını ve kredi kartı detaylarını sızdırabiliyor.
Saldırganlar kötü amaçlı veya XSS/kötü önbelleklenmiş sayfalarda görünmez HTML katmanları kullanarak otomatik doldurma menülerini tetikliyor.
Töth, çeşitli opacity ve overlay teknikleriyle parola yöneticilerinin otomatik doldurma kontrollerini gizleyip kullanıcı tıklamalarını yönlendiren istismar yöntemlerini gösterdi.
1Password, Bitwarden, Enpass, iCloud Passwords, LastPass ve LogMeOnce tarayıcı eklentilerinin belirli sürümleri bu yöntemlerle saldırıya açık bulundu.
Töth ve Socket’in bildirimleri sonrası bazı üreticiler yamalar yayınladı; kullanıcıların otomatik doldurma özelliğini devre dışı bırakıp kopyala-yapıştır kullanmaları öneriliyor.
Get notified when new stories are published for "Hacker News 🇹🇷 Türkçe"