IT与安全专家长期建议使用密码管理器来确保登录数据安全且集中存储。这类工具通常被认为可靠安全,但研究人员近期在11家供应商的产品中发现了一个可被黑客利用的通用漏洞。
该漏洞由The Hacker News的安全研究人员发现。以下密码管理器的浏览器扩展程序因基于DOM(文档对象模型)而受到影响:
• 1Password
• Bitwarden
• Dashlane
• Enpass
• iCloud密码
• Keeper
• LastPass
• LogMeOnce
• NordPass
• ProtonPass
• RoboForm
这份名单包含多个全球知名且广泛使用的密码管理器,预计影响约4000万用户。由于多数供应商尚未修复该安全缺陷,截至目前数据窃取风险依然存在。
黑客通过名为点击劫持(clickjacking)的漏洞实施攻击。攻击者诱导用户访问伪装成真实网站的虚假页面,这些页面包含隐形元素。用户可能因误触而激活密码管理器自动填充功能,黑客通过监控这些自动填充行为截获数据。由于用户通常仅会关闭受影响页面而不会收到任何警示,攻击往往难以被察觉。
值得注意的是,不仅密码可能被截获,其他敏感信息如存储的信用卡详情、姓名、地址、电话号码等同样面临风险,这些信息可能被用于网络钓鱼攻击。
尽管该漏洞已于2025年4月通报给相关供应商,但仅不到半数作出响应。其中Bitwarden已发布修复该问题的新版本插件。
防护方面需采取多重措施:避免点击未知或意外链接,建议手动在浏览器新建标签页直接访问目标网站,或使用可信书签。使用基于Chromium内核浏览器(如大多数现代浏览器)的用户,建议将密码管理器自动填充设置调整为“点击后填充”模式,此举能有效防止未经确认的自动填充行为。此外,用户也可在浏览器设置的“自动填充和密码”选项中关闭电子邮件地址等数据的自动完成功能。
