Se han encontrado complementos populares de Administrador de contraseñas para navegadores web susceptibles a las vulnerabilidades de seguridad de Clickjacking que podrían explotarse para robar credenciales de cuentas, códigos de autenticación de dos factores (2FA) y detalles de la tarjeta de crédito bajo ciertas condiciones.
La técnica ha sido denominada Docum Object Model (DOM) Extension Clickjacking por el investigador de seguridad independiente Marek Tóth, quien presentó los hallazgos en la Conferencia de Seguridad Def Con 33 a principios de este mes.
«Un solo clic en cualquier lugar en un sitio web controlado por los atacantes podría permitir a los atacantes robar los datos de los usuarios (datos de la tarjeta de crédito, datos personales, credenciales de inicio de sesión, incluido TOTP)», dijo Tóth. «La nueva técnica es general y se puede aplicar a otros tipos de extensiones».
Clickjacking, también llamado UI Reparación, se refiere a un tipo de ataque en el que los usuarios son engañados para realizar una serie de acciones en un sitio web que parecen aparentemente inofensivos, como hacer clic en los botones, cuando, en realidad, realizan inadvertidamente las ofertas del atacante.
La nueva técnica detallada por Tóth implica esencialmente el uso de un script malicioso para manipular elementos de la interfaz de usuario en una página web que el navegador de las extensiones inyecte en el DOM, por ejemplo, las indicaciones de relleno automáticamente, haciéndolos invisibles al establecer su opacidad en cero.
La investigación se centró específicamente en 11 complementos populares del navegador de contraseñas Administrador, que van desde 1 paso de paso hasta contraseñas de iCloud, todas las cuales se han encontrado susceptibles al clickjacking de extensión basado en DOM. Colectivamente, estas extensiones tienen millones de usuarios.
Para lograr el ataque, todo lo que tiene un mal actor tiene que hacer es crear un sitio falso con una ventana emergente intrusiva, como una pantalla de inicio de sesión o un banner de consentimiento de cookies, mientras que el administrador de contraseñas incrusta un formulario de inicio de sesión invisible de tal manera que hacer clic en el sitio para cerrar la ventana emergente hace que la información de la credencial se llene automáticamente y se exfilice a un servidor remoto.
«Todos los administradores de contraseñas llenaron credenciales no solo al dominio ‘principal’, sino también a todos los subdominios», explicó Tóth. «Un atacante podría encontrar fácilmente XSS u otras vulnerabilidades y robar las credenciales almacenadas del usuario con un solo clic (10 de 11), incluido TOTP (9 de 11). En algunos escenarios, la autenticación de PassKey también podría explotarse (8 de 11)».
Después de la divulgación responsable, seis de los proveedores aún no han liberado correcciones para el defecto –
- 1Password Password Manager 8.11.4.27
- Apple iCloud Passwords 3.1.25
- BitWarden Password Manager 2025.7.0
- Enpass 6.11.6
- LastPass 4.146.3
- Logmeonce 7.12.4
La firma de seguridad de la cadena de suministro de software Socket, que revisó de forma independiente la investigación, dijo que las contraseñas de Bitwarden, Enpass e iCloud están trabajando activamente en correcciones, mientras que 1Password y LastPass las marcaron como informativas. También se ha comunicado con US-Cert para asignar identificadores CVE para los problemas identificados.
Hasta que las correcciones estén disponibles, se recomienda que los usuarios desacten la función de relleno automático en sus administradores de contraseñas y solo usen copiar/pegar.
«Para los usuarios de navegador basados en Chromium, se recomienda configurar el acceso del sitio a ‘en clic’ en la configuración de extensión», dijo Tóth. «Esta configuración permite a los usuarios controlar manualmente la funcionalidad de relleno automático».