Een nieuw groot beveiligingslek is ontdekt in alle grote wachtwoordmanagers. Het stelt hackers in staat om eenvoudig inloggegevens, creditcardgegevens en andere gevoelige informatie te stelen via zogenaamde clickjacking-aanvallen..
Het lek werd voor het eerst gevonden en gemeld door de Tsjechische cybersecurity-expert Marek Tóth tijdens de recente DEF CON-hackersconferentie. Daar liet hij zien hoe kwaadwillenden de autofill-functie in browserextensies van wachtwoordmanagers kunnen misbruiken om opgeslagen gegevens te onderscheppen.
De kwetsbaarheid komt voort uit het feit dat de browserextensie niet goed kan herkennen wanneer er sprake is van een malafide website, een onzichtbare overlay of een gehackt domein. In de praktijk kunnen aanvallers bijvoorbeeld een cookie-melding of een simpele CAPTCHA gebruiken die op de achtergrond de autofill-functie van de wachtwoordmanager triggert – zonder dat de gebruiker dit merkt. Zo kan één klik op een cookie-banner al genoeg zijn om je wachtwoord ongemerkt naar een hacker te sturen.
Bijna alle bekende wachtwoordmanagers bleken kwetsbaar, waaronder:
- 1Password
- Dashlane
- Enpass
- iCloud Passwords
- LastPass
- NordPass
- ProtonPass
- RoboForm en anderen
Na melding hebben de meeste wachtwoordmanagers hun extensies gepatcht, maar bij 1Password, Enpass, LastPass en iCloud Passwords is het lek nog steeds niet gedicht.
Tot die tijd raden cybersecurity-experts aan om de autofill-functie uit te schakelen en in plaats daarvan de copy/paste-functie te gebruiken bij het invullen van wachtwoorden.
