Negli ultimi mesi, una nuova vulnerabilità di sicurezza ha messo in allerta milioni di utenti di gestori di password, una categoria di software fondamentale per la protezione delle credenziali digitali. La falla riguarda un sofisticato tipo di attacco denominato clickjacking, che consente a malintenzionati di sottrarre dati sensibili usando tecniche di manipolazione dell’interfaccia degli estensioni browser dei password manager più popolari tra cui LastPass, 1Password e Bitwarden.

Scendendo nel dettaglio, il clickjacking è una tecnica di attacco che sfrutta la sovrapposizione invisibile di elementi HTML su pagine web apparentemente innocue. Un aggressore costruisce una pagina dannosa che contiene, ad esempio, frame trasparenti o elementi nascosti che intercettano i clic degli utenti.

Nel caso dei password manager, questa tecnica permette di nascondere menu di autofill o finestre di dialogo dell’estensione, inducendo l’utente a cliccare involontariamente su pulsanti che attivano funzionalità pericolose come il riempimento automatico delle credenziali o persino l’esportazione della “cassaforte” delle password.

Il ricercatore indipendente Marek Tóth ha evidenziato come varie estensioni per browser dei principali gestori di password non implementino adeguate contromisure di sicurezza, come politiche robuste di Content Security Policy (CSP) o controlli precisi sugli input utente. Questo difetto consente a un aggressore, tramite una pagina web malevola contenente script dannosi, di manipolare il Document Object Model (DOM) per nascondere elementi che l’utente crede innocui (banner dei cookie o CAPTCHA) ma che in realtà fungono da vettori per l’attivazione involontaria di comandi dell’estensione del password manager.

La ricerca di Marek Tóth, presentata alla recente conferenza DEF CON 33 e successivamente confermata da esperti di sicurezza, ha evidenziato che almeno undici gestori di password sono vulnerabili ad almeno una forma di clickjacking sulle loro estensioni browser. Oltre ai già citati 1Password, Bitwarden e LastPass, compaiono Dashlane, Enpass, Keeper, iCloud Passwords, LogMeOnce, NordPass, ProtonPass e RoboForm.

password clickjacking

Questi gestori complessivamente contano circa 40 milioni di utenti, rendendo la parcella di rischio molto elevata. In alcuni casi, gestori come Bitwarden hanno già rilasciato aggiornamenti correttivi, mentre altri come 1Password e LastPass hanno definito la questione come una minaccia comune e parzialmente strutturale, indicando difficoltà nell’eliminazione completa tramite patch singole.

L’attacco si concretizza con l’inserimento di uno script su una pagina web compromessa o malevola, che cambia l’opacità o la posizione degli elementi della pagina per sovrapporre un menu di riempimento automatico dell’estensione del password manager sotto elementi visibili come bottoni “Rifiuta tutti” dei banner cookie. L’utente, cliccando apparentemente su questi bottoni, attiva però il riempimento automatico delle sue credenziali, che vengono così esposte all’attaccante.

Altre varianti dell’attacco includono la sincronizzazione dell’interfaccia dell’estensione con il movimento del puntatore del mouse, facendo sì che ogni clic venga intercettato anche se non direttamente sui controlli visibili, e uno script che rileva automaticamente quale password manager è attivo sul browser della vittima per personalizzare l’attacco.

Conseguenze per gli utenti e consigli per la protezione

L’impatto di un attacco clickjacking su un password manager può essere devastante, portando alla perdita totale delle password memorizzate e alla compromissione dei codici di autenticazione a due fattori (2FA) e dei dati delle carte di credito salvate. Nei casi peggiori, l’attaccante può modificare la master password o disabilitare meccanismi di sicurezza aggiuntivi, mettendo a rischio non solo l’account personale ma anche account aziendali e infrastrutture critiche.

Gli sviluppatori stanno lavorando per rilasciare aggiornamenti e patch che introducono controlli di sicurezza più stringenti, come notifiche pop-up prima del riempimento automatico e richieste di conferme aggiuntive. Nel frattempo, Tóth suggerisce agli utenti di:

  • Disattivare temporaneamente il riempimento automatico dell’estensione quando possibile
  • Tenere sempre aggiornati i propri gestori di password con le ultime versioni
  • Essere cauti nell’interagire con banner e pop-up, specialmente su siti web non noti o sospetti
  • Utilizzare autenticazioni aggiuntive come 2FA esterne ai browser

(Immagine in apertura: Shutterstock)