Image by Volodymyr Kondriianenko, from Unsplash
Password Managers Lækker Data i Nyt Clickjacking Angreb
Læsetid: 2 Minut
Senest opdateret: Aug 21, 2025
-
![Kiara Fabbri]()
-
![Lokaliserings & Oversættelses Teamet]()
Oversat af Lokaliserings & Oversættelses Teamet Lokaliserings & Oversættelses Tjenester
En ny undersøgelse advarer om, at millioner af brugere af password manager kan være sårbare over for en farlig browser-udnyttelse kaldet “DOM-baseret Extension Clickjacking.”
Har du travlt? Her er de hurtige fakta:
- Angribere kan narre brugere til at udfylde data automatisk med et falsk klik.
- Lækkede data inkluderer kreditkort, login-oplysninger og endda to-faktor koder.
- 32,7 millioner brugere forbliver udsatte, da nogle leverandører ikke har lappet fejl.
Forskeren bag fundene forklarede: “Clickjacking er stadig en sikkerhedstrussel, men det er nødvendigt at skifte fra webapplikationer til browserudvidelser, som er mere populære i dag (password managers, krypto tegnebøger og andre).”
Angrebet fungerer ved at narre brugerne til at klikke på falske elementer, herunder cookiebannere og captcha pop-ups, mens et usynligt script hemmeligt aktiverer adgangskodehåndtererens autofyldfunktion. Forskerne forklarer, at angriberne kun havde brug for ét klik for at stjæle følsomme oplysninger.
“Et enkelt klik hvor som helst på et angriberkontrolleret websted kunne give angriberne mulighed for at stjæle brugernes data (kreditkortoplysninger, personlige data, loginoplysninger inklusive TOTP),” siger rapporten.
Forskeren testede 11 populære password managers, herunder 1Password, Bitwarden, Dashlane, Keeper, LastPass og iCloud Passwords. Resultaterne var alarmerende: “Alle var sårbare overfor ‘DOM-baseret Extension Clickjacking’. Titusindvis af brugere kunne være i fare (omkring 40 millioner aktive installationer).”
Testene afslørede, at seks password managers ud af ni afslørede kreditkortoplysninger, mens otte managers ud af ti lækede personlige informationer. Desuden tillod ti ud af elleve angribere at stjæle gemte loginoplysninger. I nogle tilfælde kunne selv to-faktor autentificeringskoder og passkeys være i fare.
Selvom leverandørerne blev advaret i april 2025, bemærker forskerne, at nogle af dem, som Bitwarden, 1Password, iCloud Passwords, Enpass, LastPass og LogMeOnce, endnu ikke har rettet fejlene. Dette er særligt bekymrende, da det efterlader ca. 32,7 millioner brugere udsat for dette angreb.
Forskerne konkluderede: “Den beskrevne teknik er generel, og jeg testede den kun på 11 password managers. Andre DOM-manipulerende udvidelser er sandsynligvis sårbare (password managers, krypto-tegnebøger, noter osv.).”
Tidligere Historie
Seneste artikler 
