长期以来,IT和安全专家一直建议使用密码管理器来确保登录数据安全并集中存储。这类工具通常被认为可靠安全,但研究人员近期在11家供应商的产品中发现了一个可被黑客利用的通用漏洞。(参见我们推荐的最可信密码管理器清单)
该漏洞由The Hacker News的安全研究人员发现。以下密码管理器的浏览器扩展程序因基于DOM(文档对象模型)而受到影响:
• 1Password
• Bitwarden
• Dashlane
• Enpass
• iCloud密码
• Keeper
• LastPass
• LogMeOnce
• NordPass
• ProtonPass
• RoboForm
这份清单包含了一些全球知名且广泛使用的密码管理器,预计影响约4000万用户。目前多数供应商尚未发布安全补丁,截至本文发布时数据盗窃风险依然存在。对于已发布补丁的服务(如RoboForm),用户需立即更新以消除漏洞。
黑客通过名为“点击劫持”的手段实施攻击:诱使用户访问高度仿真的虚假网站,这些网站包含不可见的恶意元素。用户可能因一次误触意外激活密码管理器,导致其自动填充登录凭据。黑客通过监控这些自动填充行为截获数据,整个过程难以察觉——用户通常只是关闭页面,完全不知晓密码管理器已被入侵。
该漏洞根源在于DOM模型存在安全缺陷,使得攻击成为可能。除密码外,存储的信用卡信息、姓名、地址和电话号码等敏感数据同样面临风险,这些信息可能被用于钓鱼攻击。
尽管漏洞早在2025年4月就已通报给相关供应商,但仅不到半数采取了应对措施。Bitwarden目前已发布修复该问题的新版本插件。
防护措施需要多管齐下:切勿点击未知或可疑链接,即使它们指向看似合法的网站。最安全的做法是手动在浏览器新标签页直接输入网址,或通过受信任的书签访问。使用基于Chromium内核浏览器(目前主流浏览器)的用户,建议将密码管理器自动填充设置为“点击后触发”,这是防止自动填写密码的关键步骤。用户也可在浏览器设置的“自动填充和密码”选项中关闭邮箱地址等数据的自动完成功能。
