AUG 20, 2025RAVIE LAKSHMANVULNERABLED / SEGURIDAD DE SEGURIDAD POPULAR Manager de contraseñas para navegadores web se han encontrado susceptibles a las vulnerabilidades de seguridad que podrían explotarse para robar credenciales de cuentas, códigos de autenticación de dos factores (2FA) y detalles de la tarjeta de crédito bajo ciertas condiciones. La técnica ha sido denominada Docum Object Model (DOM) Extension Clickjacking por el investigador de seguridad independiente Marek Tóth, quien presentó los hallazgos en la Conferencia de Seguridad Def Con 33 a principios de este mes. «Un solo clic en cualquier lugar en un sitio web controlado por los atacantes podría permitir a los atacantes robar los datos de los usuarios (datos de la tarjeta de crédito, datos personales, credenciales de inicio de sesión, incluido TOTP)», dijo Tóth. «La nueva técnica es general y se puede aplicar a otros tipos de extensiones». Clickjacking, también llamado UI Reparación, se refiere a un tipo de ataque en el que los usuarios son engañados para realizar una serie de acciones en un sitio web que parecen aparentemente inofensivos, como hacer clic en los botones, cuando, en realidad, realizan inadvertidamente las ofertas del atacante. La nueva técnica detallada por Tóth implica esencialmente el uso de un script malicioso para manipular elementos de la interfaz de usuario en una página web que el navegador de las extensiones inyecte en el DOM, por ejemplo, las indicaciones de relleno automáticamente, haciéndolos invisibles al establecer su opacidad en cero. La investigación se centró específicamente en 11 complementos populares del navegador de contraseñas Administrador, que van desde 1 paso de paso hasta contraseñas de iCloud, todas las cuales se han encontrado susceptibles al clickjacking de extensión basado en DOM. Colectivamente, estas extensiones tienen millones de usuarios. Para lograr el ataque, todo lo que tiene un mal actor tiene que hacer es crear un sitio falso con una ventana emergente intrusiva, como una pantalla de inicio de sesión o un banner de consentimiento de cookies, mientras que el administrador de contraseñas incrusta un formulario de inicio de sesión invisible de tal manera que hacer clic en el sitio para cerrar la ventana emergente hace que la información de la credencial se llene automáticamente y se exfilice a un servidor remoto. «Todos los administradores de contraseñas llenaron credenciales no solo al dominio ‘principal’, sino también a todos los subdominios», explicó Tóth. «Un atacante podría encontrar fácilmente XSS u otras vulnerabilidades y robar las credenciales almacenadas del usuario con un solo clic (10 de 11), incluido TOTP (9 de 11). En algunos escenarios, la autenticación de PassKey también podría explotarse (8 de 11)». Siguiendo la divulgación responsable, seis de los proveedores aún no han liberado correcciones para el defecto – 1Password Manager de contraseña 8.11.4.27 Apple ICloud Passwords 3.1.25 Bitwarden Password Manager 2025.7.0 Enpass 6.11.6 LastPass 4.146.3 Logmeonce 7.12.4 Software Supply Chail Security Firma Schocket, que revisó independientemente la investigación, dijo Bitwarden, enpass, y icloud. 1Password y LastPass los marcaron como informativos. También se ha comunicado con US-Cert para asignar identificadores CVE para los problemas identificados. Hasta que las correcciones estén disponibles, se recomienda que los usuarios desacten la función de relleno automático en sus administradores de contraseñas y solo usen copiar/pegar. «Para los usuarios de navegador basados ​​en Chromium, se recomienda configurar el acceso del sitio a ‘en clic’ en la configuración de extensión», dijo Tóth. «Esta configuración permite a los usuarios controlar manualmente la funcionalidad de relleno automático». Actualizar BitWarden ha lanzado la versión 2025.8.0 del Administrador de contraseñas para abordar las vulnerabilidades de clickjacking.