Gerenciadores de senha vulneráveis a clickjacking

Gerenciadores de senha vulneráveis a clickjacking: Riscos críticos e estratégias de defesa

Pesquisas recentes revelaram uma vulnerabilidade alarmante: certos gerenciadores de senha em forma de extensões para navegador estão expostos a uma técnica sofisticada chamada de clickjacking baseado no DOM (DOM-based extension clickjacking). Essa falha permite que, com um único clique em um site malicioso, usuários tenham seus dados confidenciais — incluindo credenciais de login, códigos de autenticação em dois fatores (TOTP), cartões de crédito e até passkeys — automaticamente preenchidos e exfiltrados sem perceber. A apresentação dessas descobertas foi feita no DEF CON 33 pelo pesquisador Marek Tóth.

 

Como funciona o ataque e seu alcance

Essa nova forma de clickjacking manipula elementos injetados no DOM por extensões de gerenciadores de senha, tornando-os invisíveis — por exemplo, ajustando a propriedade CSS opacity para zero — enquanto os mantém funcionalmente ativos. Em seguida, uma sobreposição falsa, como um banner de consentimento de cookies ou um CAPTCHA, é posicionada de modo que o clique do usuário ativa discretamente o preenchimento automático da extensão, expondo dados sigilosos.

A pesquisa testou onze dos gerenciadores de senha mais populares — incluindo 1Password, Bitwarden, LastPass, iCloud Passwords, Enpass e LogMeOnce — e constatou vulnerabilidades em todos eles sob certas condições, com impacto potencial para cerca de 40 milhões de usuários.

 

Resultados detalhados e resposta dos fornecedores

  • Credenciais de login foram comprometidas em 10 de 11 extensões testadas.

  • Dados de cartão de crédito, inclusive códigos CVV, puderam ser extraídos em 6 de 9 casos.

  • Dados pessoais foram acessíveis em 8 de 10 extensões avaliadas.

  • Passkeys também foram exploráveis em 8 de 11 cenários.

Entre os fornecedores que reagiram prontamente com correções estão Dashlane, NordPass, ProtonPass, RoboForm e Keeper. Já Bitwarden lançou a versão 2025.8.0 com mitigação, enquanto outras empresas como 1Password, LastPass, Enpass, iCloud Passwords e LogMeOnce ainda não entregaram correções ou reagiram apenas de forma parcial.

 

Implicações de segurança e contexto mais amplo

A ameaça evidencia que clickjacking, apesar de conhecido, evoluiu para atingir extensões com privilégios elevados — algo tradicionalmente não previsto nas proteções baseadas em headers como X-Frame-Options ou políticas de segurança de conteúdo (CSP). A manipulação do DOM exige contramedidas diretamente nas extensões, ampliando o leque de vetores de ataque que precisam ser bloqueados de forma proativa.

A gravidade da situação foi complementada por análises independentes como as da Socket e da mídia especializada, que confirmaram a validade do estudo e ajudaram a acelerar a comunicação com os fornecedores para emissão de CVEs.

 

Estratégias de mitigação recomendadas

Enquanto correções completas não são universalmente aplicadas, recomenda-se:

  • Desativar a função de preenchimento automático dos gerenciadores de senha e usar copy/paste sempre que possível.

  • Ajustar extensões em navegadores baseados em Chromium para funcionar apenas “on click”, exigindo interação explícita antes de qualquer preenchimento automático.

  • Se possível, utilizar gerenciadores que funcionam fora do navegador, ou daqueles que já receberam correções, reduzindo a superfície de ataque.

  • Manter as extensões atualizadas, garantindo que sejam instaladas versões com correções fornecidas pelos desenvolvedores. Em especial, migrar para versões como a do Bitwarden 2025.8.0 ou similares, assim que disponíveis.

 

Conclusão

A descoberta do DOM-based extension clickjacking representa um passo significativo na evolução de ataques direcionados a interfaces aparentemente seguras. Ao explorar o preenchimento automático de gerenciadores de senha, o ataque transforma um recurso conveniente em uma vulnerabilidade crítica. O impacto atinge milhões de usuários e desafia a capacidade de defesa das extensões tradicionais. A resposta imediata — na forma de desativar autofill e aplicar políticas de “on click” — é fundamental enquanto os fornecedores não corrigem plenamente seus produtos. O cenário confirma que a segurança digital deve considerar, de forma integrada, não apenas os sites e aplicativos, mas também as extensões que operam com privilégios elevados no navegador.

 

Referências bibliográficas