Безбедносен пропуст, кој неодамна беше демонстриран, претставува сериозен ризик за корисниците на екстензии за управување со лозинки во веб-прелистувачите.


Сериозен безбедносен пропуст кај популарните менаџери за лозинки беше откриен на неодамнешната конференција DEF CON.

Истражувачот Марек Тот покажа дека таканаречениот напад со кликнување може да се користи за кражба на податоци складирани од екстензии на прелистувачи – вклучувајќи лозинки, броеви на картички, па дури и двофакторски кодови за автентикација.

Нападот функционира со поставување невидлив слој врз вистинскиот елемент на веб-страницата. Корисникот мисли дека кликнува на безопасно копче, но всушност активира скриено мени во менаџерот за лозинки и несвесно ги открива своите податоци.

Листата на ранливи услуги ги вклучува речиси сите добро познати услуги: 1Password, LastPass, NordPass, Enpass и други. Некои производители веќе објавија закрпи (Dashlane, Keeper, NordPass), додека поправките сè уште не се достапни за други.

Како да се заштитите

  • Исклучете го автоматското пополнување додека не добиете ажурирање.
  • Користете рачно внесување (copy–paste) наместо автоматско.
  • На Chrome и слични прелистувачи, поставете ја екстензијата да се активира само кога ќе кликнете на иконата.

Нападите со кликнување покажуваат колку се ранливи екстензиите за зачувување лозинки кога се користат во прелистувачот. Додека производителите не ги поправат безбедносните дупки, на корисниците им се препорачува да бидат дополнително претпазливи и да ја користат опцијата за автоматско пополнување што е можно поретко.