-
Uma técnica de clickjacking expõe milhões de usuários de gerenciadores de senhas.
-
Isso afeta extensões de navegador como as do 1Password, Bitwarden ou LastPass.
-
Algumas empresas ainda não aplicaram as correções, apesar de terem sido notificadas em abril.
Confiamos nos nossos gerenciadores de senhas como se fossem cofres digitais. Mas, de acordo com o especialista Marek Tóth, basta visitar o site errado e clicar onde não se deve para comprometer essa segurança. A técnica que ele apresentou em DEF CON 33 Não se trata das aplicações, mas sim do extensões que usamos diariamente no navegador. Em seus testes, ele afirma que esse gesto pode ativar um sistema de roubo de informações sem que o usuário perceba.
A pesquisa, divulgada em uma importante conferência internacional de cibersegurança, documenta como onze extensões de gerenciadores de senhas poderiam ser manipuladas para vazar dados. Tóth afirma que notificou os fabricantes sobre a descoberta em abril de 2025 e que várias delas permaneceram sem correção até meados de agosto. O estudo inclui testes práticos, sites criados para demonstrar a vulnerabilidade e uma estimativa de seu alcance: aproximadamente 40 milhões de instalações ativas potencialmente expostas.
Como funciona o ataque e por que ele afeta você.
A técnica descrita por Tóth baseia-se em ocultar os elementos que as extensões inserem na página, de forma que o usuário interaja com eles sem os ver. Com alterações mínimas na opacidade ou sobreposição, o atacante consegue... O preenchimento automático está ativado em segundo plano.Existem diversas maneiras de se conseguir isso, desde manipular o elemento raiz da extensão até alterar todo o corpo do site, além de variações de sobreposição.
O cenário mais delicado surge quando um site falso não é necessário; basta explorar uma página legítima com uma falha de segurança. Nesses casos, explica ele, o atacante pode capturar as credenciais de login. O risco aumenta porque muitos administradores preenchem dados não apenas no domínio principal, mas também em subdomínios, ampliando a superfície de ataque sem que o usuário perceba.
De acordo com dados publicados pela Tóth e coletados pela SocketAté 19 de agosto, o 1Password, o Bitwarden e o Enpass ainda constavam na lista de vulnerabilidades. Senhas do iCloudLastPass e LogMeOnce. Em 20 de agosto, o Socket informou que a Bitwarden lançou a versão 2025.8.0 com uma correção, aguardando distribuição nas lojas de extensões. Entre as carteiras que implementaram as correções estão NordPass, Dashlane, Keeper, ProtonPass e RoboForm. No entanto, essa lista pode mudar a qualquer momento se outras empresas lançarem correções após este anúncio.
Imagens de Xakata com Gemini 2.5
A reação dos fabricantes foi mista. A Socket observa que a 1Password e a LastPass classificaram a vulnerabilidade como “informativa”, uma categoria que geralmente implica que não haverá mudanças imediatas. A Bitwarden, a Enpass e a Apple (Senhas do iCloud) confirmaram que Eles estão trabalhando em atualizações.A LogMeOnce não respondeu às tentativas de contato. Algumas empresas reconheceram o risco, mas o atribuíram a vulnerabilidades externas nos sites visitados.
Embora alguns desenvolvedores ainda estejam decidindo como proceder, Tóth e a equipe do Socket concordam que existem medidas práticas para reduzir a exposição. Uma das mais eficazes é desativar o preenchimento automático manual e recorrer ao copiar e colar. Também é recomendável configurar o preenchimento automático apenas para correspondências exatas de URLs, impedindo que funcione em subdomínios. Em navegadores baseados no Chromium, o uso da extensão pode ser restringido com a opção de acesso "ao clicar", exigindo que o usuário autorize explicitamente cada instância.
Não é tão imediato quanto clicar e perder tudo. Para que o ataque seja bem-sucedido, a extensão precisa estar desbloqueada, o navegador não pode ter sido reiniciado e o usuário precisa interagir no momento exato. Além disso, a análise se concentrou em apenas onze extensões. Não há evidências de que todas as soluções Alguns segmentos de mercado podem ser vulneráveis, embora o especialista alerte que o padrão pode se repetir em outros tipos de extensões.
O ponto fraco está em DOMA estrutura interna que os sites usam para organizar botões, formulários e menus é chamada de URL. Os gerenciadores de senhas inserem seus elementos ali, e se um site malicioso conseguir movê-los, ocultá-los ou forçá-los, o usuário pode acabar clicando neles sem perceber. Esse mesmo risco se estende a outras extensões, como carteiras de criptomoedas ou aplicativos de anotações.
Javier Márquez, Editor de Tecnologia | 21 de agosto de 2025
