Κενό ασφαλείας σε LastPass, 1Password, Bitwarden – Εύκολη στόχευση από clickjacking σε browser extensions

Τα πιο διαδεδομένα πρόσθετα διαχειριστών κωδικών πρόσβασης (password manager extensions) για web browsers, όπως τα LastPass, 1Password και Bitwarden, βρέθηκαν εκτεθειμένα σε επιθέσεις clickjacking, μια απειλή που αφορά πλέον εκατομμύρια χρήστες παγκοσμίως. Η ευπάθεια παρουσιάστηκε δημόσια από τον ανεξάρτητο ερευνητή Marek Tóth στο συνέδριο ασφάλειας DEF CON 33 τον Αύγουστο, με τις εφαρμογές να παραμένουν ευάλωτες αρκετές ημέρες ή και εβδομάδες μετά την αποκάλυψη.

Το clickjacking (παραπλάνηση μέσω ψεύτικων κουμπιών) λειτουργεί παγιδεύοντας τον χρήστη σε «αθώα» κλικ σε μια σελίδα που όμως καλύπτεται από αόρατα ή μετακινούμενα στοιχεία διεπαφής, τα οποία προβάλλουν ή ενεργοποιούν το drop-down auto-fill του διαχειριστή κωδικών. Μόλις γίνει το κλικ, ο password manager μπορεί εν αγνοία του χρήστη να συμπληρώσει ή να αποκαλύψει κωδικούς, 2FA tokens ή στοιχεία κάρτας σε τρίτους.

Η επίθεση εκμεταλλεύεται το Document Object Model (DOM) του browser, όπου ένα κακόβουλο script αλλάζει την ορατότητα των στοιχείων διεπαφής που εισάγουν τα extensions, συχνά μειώνοντας το opacity (διαφάνεια) στο μηδέν. Ο ερευνητής διαπίστωσε ότι το trick αυτό απαιτεί συνήθως μόλις ένα μόνο άσχετο κλικ από τον ανυποψίαστο χρήστη για να αποκαλυφθούν μυστικά δεδομένα. Επηρεάζονται εκδόσεις όπως 1Password 8.11.4.27, Bitwarden 2025.7.0, LastPass 4.146.3 και αντίστοιχα build άλλων δημοφιλών λύσεων – συνολικά 11 managers με βάση τα δοκιμασμένα δείγματα.

Η Bitwarden έχει ήδη ξεκινήσει να διανέμει ενημέρωση ασφαλείας (patch) με την έκδοση 2025.8.0 που διορθώνει το κενό. Ωστόσο, εταιρείες όπως η LastPass και η 1Password θεωρούν το θέμα εκτός των βασικών τους υποχρεώσεων ή το παρουσιάζουν απλώς σαν πληροφοριακό χωρίς άμεση επισκευή. Αυτό σημαίνει ότι, στην πράξη, πολλοί χρήστες, ακόμα και αυτοί που έχουν τις τελευταίες εκδόσεις των εφαρμογών, παραμένουν προσωρινά εκτεθειμένοι σε κίνδυνο εισβολής και υποκλοπής δεδομένων.

Οι επιθέσεις clickjacking αναδεικνύουν την ανάγκη αυστηρότερης παρακολούθησης στις προσθήκες browser, καθώς η βασική σύσταση των ειδικών είναι πλέον η απενεργοποίηση ή τουλάχιστον η αποφυγή αυτόματης συμπλήρωσης κωδικών (auto-fill), μέχρι να υπάρξει πιστοποίηση διόρθωσης από όλους τους κατασκευαστές. Η open source φύση ορισμένων λύσεων, όπως η Bitwarden, ευνοεί ταχύτερες αναβαθμίσεις και διαφάνεια αλλά δεν θωρακίζει αυτόματα απέναντι σε εξελιγμένες DOM-based επιθέσεις. Η ευπάθεια στα extensions αποδεικνύει ότι καμία ασφάλεια δεν είναι απόλυτη: Η επαγρύπνηση στον τρόπο χρήσης και τα συνεχή updates αποτελούν αναγκαία συνθήκη ψηφιακής αυτοπροστασίας σε κάθε επίπεδο.