Sei popolari gestori di password con decine di milioni di utenti presentano vulnerabilità di clickjacking non corrette.
Gli assalitori possono utilizzare overlay HTML trasparenti per innescare il riempimento automatico e sottrarre credenziali, codici 2FA e dati di carte di credito.
Il ricercatore Marek Tóth ha dimostrato le tecniche a DEF CON 33 e la società Socket ha verificato i problemi in 1Password, Bitwarden, Enpass, iCloud Passwords, LastPass e LogMeOnce.
Le metodologie di attacco includono manipolazione dell’opacità degli elementi e sovrapposizione di banner, popup o CAPTCHA fasulli.
Alcuni fornitori, come Dashlane, NordPass, ProtonPass, RoboForm e Keeper, hanno già rilasciato aggiornamenti correttivi, mentre altri non hanno ancora risolto completamente.
Fino al rilascio delle patch, si raccomanda di disabilitare la funzione di riempimento automatico e utilizzare manualmente copia e incolla.
Get notified when new stories are published for "Hacker News 🇮🇹 Italiano"