Populaire browserextensies voor wachtwoordbeheer blijken kwetsbaar te zijn voor een nieuwe vorm van clickjacking, waarmee aanvallers in bepaalde omstandigheden toegang kunnen krijgen tot gevoelige gegevens zoals inloggegevens, tweefactorcodes en creditcardinformatie. Het beveiligingslek, dat is ontdekt door onafhankelijk onderzoeker Marek Tóth, werd deze maand gepresenteerd op de beveiligingsconferentie DEF CON 33.

De aanvalstechniek, door Tóth omschreven als DOM-based extension clickjacking, maakt misbruik van de manier waarop wachtwoordmanagers hun interface-elementen in de Document Object Model (DOM)-structuur van een webpagina injecteren. Door deze elementen onzichtbaar te maken, bijvoorbeeld door de transparantie op nul te zetten, kunnen kwaadwillenden gebruikers hun potentiële slachtoffers onbewust acties laten uitvoeren. Een simpele klik op een ogenschijnlijk onschuldige website kan er daardoor toe leiden dat opgeslagen inloggegevens of andere persoonlijke data automatisch worden ingevuld en direct worden doorgestuurd naar een externe server.

Ook tweefactorcodes niet veilig

In zijn onderzoek richtte Tóth zich op elf veelgebruikte wachtwoordmanagers, waaronder 1Password, Bitwarden, LastPass en iCloud Passwords. Bij vrijwel alle extensies bleek het mogelijk om met één klik de opgeslagen gegevens van een gebruiker buit te maken. Niet alleen inloggegevens, maar ook tweefactorcodes en in sommige gevallen passkeys bleken te onderscheppen. Omdat de managers in veel gevallen gegevens niet alleen aan het hoofddomein koppelen, maar ook aan subdomeinen, kan een aanvaller relatief eenvoudig bekende kwetsbaarheden zoals XSS gebruiken om de aanval uit te voeren.

Bevindingen gemeld

Na de ontdekking zijn de bevindingen gemeld aan de betrokken bedrijven. Enkele leveranciers, waaronder Bitwarden, Enpass en iCloud Passwords, werken inmiddels aan een oplossing. Andere partijen, zoals 1Password en LastPass, beschouwen de melding vooralsnog als informatief. Voor gebruikers betekent dit dat er nog geen algemene beveiligingsupdate beschikbaar is.
Totdat patches worden uitgerold, adviseren experts om de automatische invulfunctie van wachtwoordmanagers uit te schakelen en inloggegevens handmatig via kopiëren en plakken te gebruiken. Voor gebruikers van Chromium-gebaseerde browsers wordt bovendien aangeraden om de extensietoegang in te stellen op ‘bij klikken’, zodat auto-fill alleen plaatsvindt wanneer dit expliciet wordt toegestaan.