CiberSegurançaNews
Tendência

Falha em Extensões de Gerenciadores de Senhas Permite Roubo de Dados com um Clique

Nova técnica de clickjacking afeta 1Password, Bitwarden, LastPass e outros; veja como proteger suas senhas e dados sensíveis.

Foto de Ellen Santos Ellen Santos Mande um e-mail agosto 21, 2025
0 30 2 minutos de leitura

Pesquisadores de segurança descobriram uma vulnerabilidade crítica em extensões de gerenciadores de senhas populares para navegadores. A falha permite que hackers roubem senhas, códigos de autenticação em dois fatores (2FA) e até dados de cartões de crédito — tudo com um único clique.

A técnica, chamada “clickjacking baseado em DOM” (DOM-based extension clickjacking), foi apresentada pelo pesquisador Marek Tóth durante a conferência DEF CON 33. Segundo ele, o ataque pode ser explorado de forma simples por criminosos e pode afetar qualquer extensão que injete elementos visuais no navegador, como campos de preenchimento automático.

Como o ataque funciona

O clickjacking tradicional engana o usuário para que ele clique em elementos ocultos ou disfarçados. A técnica detalhada por Tóth vai além, manipulando a interface gráfica de extensões diretamente no DOM (Document Object Model) do navegador.

Com isso, o hacker pode esconder um campo de login no site (tornando-o invisível com opacidade zero) e induzir a vítima a clicar em um botão qualquer, como “fechar pop-up” ou “aceitar cookies”. O gerenciador de senhas interpreta o clique como legítimo e preenche os dados de forma automática — sem que o usuário veja. Em seguida, as informações são capturadas e enviadas ao servidor do atacante.

Extensões populares afetadas

A pesquisa analisou 11 extensões amplamente utilizadas. Todas foram consideradas vulneráveis. Entre elas:

  • 1Password (v8.11.4.27)

  • Apple iCloud Passwords (v3.1.25)

  • Bitwarden (v2025.7.0)

  • Enpass (v6.11.6)

  • LastPass (v4.146.3)

  • LogMeOnce (v7.12.4)

Juntas, essas extensões são utilizadas por milhões de pessoas, incluindo usuários corporativos e domésticos.

Resposta das empresas e risco contínuo

Após o alerta de segurança, apenas algumas empresas estão agindo rapidamente. De acordo com a empresa de segurança Socket:

  • Bitwarden, Enpass e iCloud Passwords estão trabalhando em correções.

  • 1Password e LastPass consideraram a falha como “informativa”, sem urgência para correção.

  • A US-CERT já foi acionada para emissão de identificadores CVE que formalizam a vulnerabilidade.

Tóth destacou que, em alguns cenários, até mesmo autenticação por passkeys pode ser explorada pelo ataque.

Como se proteger agora

Até que as atualizações de segurança sejam lançadas, especialistas recomendam as seguintes medidas:

Desative o preenchimento automático de senhas nas configurações do seu gerenciador.
Utilize copiar e colar para preencher credenciais manualmente.
✅ Em navegadores baseados em Chromium, configure as extensões para funcionar “somente ao clicar”, o que evita ações automáticas sem o seu consentimento.

Essas ações simples podem reduzir significativamente o risco de exposição.

A nova técnica de clickjacking serve como um alerta: mesmo ferramentas de segurança amplamente confiáveis podem ter falhas. Manter-se atualizado, usar boas práticas e entender como as extensões operam são atitudes essenciais para proteger seus dados em um mundo cada vez mais digital — e vulnerável.

Foto de Ellen Santos Ellen Santos Mande um e-mail agosto 21, 2025
0 30 2 minutos de leitura
Foto de Ellen Santos

Ellen Santos

Artigos relacionados

Exportações chinesas de ímãs de terras raras para os EUA despencam em setembro

5 horas atrás

Embraer bate recorde histórico de pedidos e reforça crescimento em todas as áreas

5 horas atrás

Da LGPD à África: DeServ realiza missão em Moçambique e contribui para a criação da Legislação de Proteção de Dados do país

1 dia atrás

Pane na AWS afeta mais de 500 empresas no mundo e causa instabilidade em serviços populares

1 dia atrás

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Botão Voltar ao topo