Image by Volodymyr Kondriianenko, from Unsplash
Các Trình Quản Lý Mật Khẩu Lộ Dữ Liệu Trong Cuộc Tấn Công Clickjacking Mới
Thời gian đọc: 3 phút
Cập nhật mới nhất: Aug 21, 2025
-
![Kiara Fabbri]()
-
![Nhóm Bản địa hóa và Dịch thuật]()
Dịch bởi Nhóm Bản địa hóa và Dịch thuật Dịch vụ Bản địa hóa và Dịch thuật
Một nghiên cứu mới cảnh báo rằng hàng triệu người dùng quản lý mật khẩu có thể dễ bị tấn công bởi một lỗ hổng trình duyệt nguy hiểm có tên “DOM-based Extension Clickjacking.”
Đang vội? Dưới đây là các thông tin quan trọng:
- Kẻ tấn công có thể lừa dụ người dùng tự động điền dữ liệu bằng một cú nhấp giả mạo.
- Dữ liệu bị rò rỉ bao gồm thẻ tín dụng, thông tin đăng nhập và thậm chí là mã xác thực hai yếu tố.
- 32,7 triệu người dùng vẫn đang tiếp tục bị tiết lộ do một số nhà cung cấp chưa khắc phục lỗi.
Người nghiên cứu đứng sau những phát hiện này giải thích: “Clickjacking vẫn là một mối đe dọa an ninh, nhưng cần phải chuyển từ ứng dụng web sang tiện ích mở rộng trên trình duyệt, đây là thứ phổ biến hơn ngày nay (quản lý mật khẩu, ví điện tử và những thứ khác).”
Cuộc tấn công hoạt động bằng cách lừa dối người dùng nhấp vào các yếu tố giả, bao gồm các banner cookie và cửa sổ pop-up captcha, trong khi một đoạn script vô hình bí mật kích hoạt chức năng tự động điền mật khẩu của trình quản lý mật khẩu. Các nhà nghiên cứu giải thích rằng kẻ tấn công chỉ cần một cú nhấp chuột để đánh cắp thông tin nhạy cảm.
“Một cú nhấp chuột ở bất cứ đâu trên trang web do kẻ tấn công kiểm soát có thể cho phép kẻ tấn công đánh cắp dữ liệu người dùng (chi tiết thẻ tín dụng, dữ liệu cá nhân, thông tin đăng nhập bao gồm TOTP),” báo cáo nói.
Nhà nghiên cứu đã kiểm tra 11 trình quản lý mật khẩu phổ biến, bao gồm 1Password, Bitwarden, Dashlane, Keeper, LastPass và iCloud Passwords. Kết quả gây đáng báo động: “Tất cả đều dễ bị tấn công ‘Clickjacking dựa trên DOM’. Hàng chục triệu người dùng có thể gặp nguy hiểm (~40 triệu lượt cài đặt đang hoạt động).”
Các thử nghiệm cho thấy sáu trình quản lý mật khẩu trong số chín đã tiết lộ chi tiết về thẻ tín dụng, trong khi tám trình quản lý trong số mười đã rò rỉ thông tin cá nhân. Hơn nữa, mười trình quản lý mật khẩu trong số mười một đã cho phép kẻ tấn công đánh cắp thông tin đăng nhập đã lưu. Trong một số trường hợp, thậm chí mã xác thực hai yếu tố và khóa bí mật cũng có thể bị xâm phạm.
Mặc dù các nhà cung cấp đã được cảnh báo vào tháng 4 năm 2025, nhưng các nhà nghiên cứu lưu ý rằng một số trong số họ, như Bitwarden, 1Password, iCloud Passwords, Enpass, LastPass và LogMeOnce, vẫn chưa khắc phục được các lỗi. Điều này đặc biệt đáng lo ngại vì nó để khoảng 32,7 triệu người dùng tiềm ẩn rủi ro trước cuộc tấn công này.
Các nhà nghiên cứu kết luận: “Kỹ thuật mô tả là chung chung và tôi chỉ kiểm tra nó trên 11 trình quản lý mật khẩu. Các tiện ích mở rộng khác có thể thao tác DOM có thể dễ bị tổn thương (quản lý mật khẩu, ví điện tử, ghi chú, v.v.).”
Tin trước
Bài viết mới nhất 
