Image by Volodymyr Kondriianenko, from Unsplash
Lösenordshanterare Läcker Data i Nytt Klickkapningsattacker
Lästid: 2 min
Senast uppdaterad: Aug 21, 2025
-
![Kiara Fabbri]()
-
![Lokaliserings- och översättningsteamet]()
Översatt av Lokaliserings- och översättningsteamet Lokaliserings- och översättningstjänster
En ny studie varnar för att miljontals användare av lösenordshanterare kan vara sårbara för ett farligt webbläsarutnyttjande kallat ”DOM-baserad Extension Clickjacking.”
Har du bråttom? Här är de snabba fakta:
- Angripare kan lura användare att autofylla data med ett falskt klick.
- Läckt data inkluderar kreditkort, inloggningsuppgifter och till och med tvåfaktorskoder.
- 32,7 miljoner användare är fortfarande utsatta eftersom vissa leverantörer inte har åtgärdat bristerna.
Forskaren bakom fynden förklarade: ”Clickjacking är fortfarande ett säkerhetshot, men det är nödvändigt att skifta från webbapplikationer till webbläsarutökningar, som är mer populära numera (lösenordshanterare, kryptoplånböcker och andra).”
Attacken fungerar genom att lura användare att klicka på falska element, inklusive cookie-banners och captcha-pop-ups, medan ett osynligt skript i hemlighet aktiverar lösenordshanterarens autofyllningsfunktion. Forskarna förklarar att angriparna endast behövde ett klick för att stjäla känslig information.
“Ett enda klick var som helst på en angripar-kontrollerad webbplats skulle kunna låta angripare stjäla användares data (kreditkortsuppgifter, personlig data, inloggningsuppgifter inklusive TOTP)”, rapporten anger.
Forskaren testade 11 populära lösenordshanterare, inklusive 1Password, Bitwarden, Dashlane, Keeper, LastPass och iCloud Passwords. Resultaten var alarmerande: ”Alla var sårbara för ‘DOM-baserad Extension Clickjacking’. Tiotalet miljoner användare kan vara i riskzonen (~40 miljoner aktiva installationer).”
Testerna visade att sex av nio lösenordshanterare exponerade kreditkortsuppgifter, medan åtta av tio läckte personlig information. Dessutom tillät tio av elva angripare att stjäla lagrade inloggningsuppgifter. I vissa fall kunde till och med tvåfaktorsautentiseringskoder och passnycklar komprometteras.
Även om leverantörerna blev varnade i april 2025 noterar forskarna att några av dem, som Bitwarden, 1Password, iCloud-lösenord, Enpass, LastPass och LogMeOnce, ännu inte har åtgärdat bristerna. Detta är särskilt oroande eftersom det lämnar en uppskattad 32,7 miljoner användare utsatta för denna attack.
Forskarna drog slutsatsen: ”Den beskrivna tekniken är generell och jag testade den bara på 11 lösenordshanterare. Andra DOM-manipulerande tillägg är förmodligen sårbara (lösenordshanterare, kryptoplungar, anteckningar etc.).”
Tidigare artikel
Senaste artiklar 
