Se han descubierto vulnerabilidades de ‘clickjacking’ que afectan a extensiones de gestores de contraseñas en navegadores web. Estas vulnerabilidades podrían permitir el robo de credenciales de usuario, códigos de autenticación de doble factor (2FA) o tarjetas de crédito bajo ciertas condiciones.
Funcionamiento de la vulnerabilidad
La técnica ha sido denominada como clickjacking de extensión basado en Document Object Model (DOM).
Clickjacking es un tipo de ataque donde el actor malicioso coloca una capa invisible para el usuario encima de un sitio web aparentemente seguro, cuando el usuario hace algún clic, sin saberlo, está haciendo clic en un sitio web malicioso diseñado por el actor malicioso.
Para efectuar el ataque, todo lo que el actor malicioso debe hacer es crear un sitio web falso con una alerta intrusiva, como una pantalla de inicio de sesión o un cuadro de consentimiento de cookies que, al hacer clic en el sitio para cerrar la alerta, manipule al gestor de contraseñas para que rellene automáticamente las credenciales y exfiltre esos datos a un servidor remoto.
Gestores de contraseñas afectados
- Bitwarden, actualización disponible.
- Dashlane, actualización publicada.
- Keeper, actualización disponible.
- NordPass, actualización disponible.
- ProtonPass, actualización disponible.
- RoboForm, actualización disponible.
- 1Password, sin actualizaciones.
- LastPass, sin actualizaciones.
- LogMeOnce, sin actualizaciones.
- Enpass, sin actualizaciones.
- Apple iCloud Passwords, sin actualizaciones.
Recomendaciones
Actualizar a las versiones parcheadas a través del proveedor. En caso de utilizar un gestor de contraseñas que no tiene actualizaciones disponibles, se recomienda desactivar la función de auto rellenado y limitarse a usar copiar/pegar.
También se recomienda a los usuarios prestar atención a las URLs de los sitios web y estar alerta a las campañas de phishing para evitar sitios web maliciosos.