#news Браузерные плагины популярных менеджеров паролей оказались уязвимы к кликджекинг-атакам. А именно к эксплойту функциональности автозаполнения — юзер рискует в один клик не туда слить данные доступа злоумышленнику.
Исследователь протестировал 11 менеджеров паролей, все оказались уязвимы к атаке в том или ином виде. Она сводится к манипуляциям прозрачностью элементов, наложением или событиями указателя, чтобы вынудить жертву кликнуть на скрытую форму с автозаполнением. Пока нет фиксов, рекомендуют ограничиться копипастом. Между тем реакция разработчиков как всегда. Часть не ответили, часть выдали карточку “out-of-scope”. Шевелиться начали, только когда доклад ушёл на DefCon, и к делу подключилась ИБ-фирма, начавшая тыкать палочкой в вендоров и рассылать им письма формата “Ищите свои продукты в свежих CVE, которые мы зарегистрировали”. Но теперь шуму подняли достаточно, так что пошла глубокая озабоченность и фиксы. Классика.
