Một lỗ hổng bảo mật lan rộng ảnh hưởng đến các nền tảng quản lý mật khẩu lớn đã khiến khoảng 40 triệu người dùng dễ bị tấn công clickjacking tinh vi có thể làm lộ thông tin đăng nhập, mã xác thực hai yếu tố và thông tin tài chính. Các lỗ hổng được phát hiện trên sáu trình quản lý mật khẩu hàng đầu cho thấy cách kзлоумышленники có thể thao túng các tiện ích mở rộng trình duyệt để đánh cắp dữ liệu nhạy cảm thông qua các thủ thuật giao diện người dùng lừa đảo.
 |
|---|
| Một minh họa tượng trưng cho các lỗ hổng trong các tiện ích mở rộng quản lý mật khẩu như LastPass , 1Password và Bitwarden , nhấn mạnh mối đe dọa từ các cuộc tấn công clickjacking |
Phát hiện và quy mô của vấn đề
Nhà nghiên cứu bảo mật Marek Tóth đã tiết lộ những lỗ hổng nghiêm trọng này tại DEF CON 33 vào tháng 8 năm 2025, cho thấy rằng các tiện ích mở rộng trình duyệt cho 1Password , Bitwarden , Enpass , iCloud Passwords , LastPass và LogMeOnce đều chứa các lỗ hổng có thể khai thác được. Nghiên cứu này đã thử nghiệm tổng cộng 11 trình quản lý mật khẩu phổ biến và phát hiện rằng mọi sản phẩm đều có lỗ hổng với ít nhất một kỹ thuật tấn công. Tóth đã tiết lộ có trách nhiệm những phát hiện này cho tất cả các công ty bị ảnh hưởng vào tháng 4 năm 2025, cung cấp cho họ vài tháng để phát triển các bản sửa lỗi trước khi công bố công khai.
Cách thức hoạt động của các cuộc tấn công Clickjacking
Cơ chế tấn công dựa vào việc thao túng tinh vi các công nghệ web để tạo ra các phần tử vô hình hoặc trong suốt che phủ các giao diện trình quản lý mật khẩu hợp pháp. Kẻ tấn công tạo ra các trang web độc hại chứa các phần tử giả mạo như banner đồng ý cookie, biểu mẫu CAPTCHA hoặc màn hình đăng nhập có vẻ vô hại đối với người dùng. Khi nạn nhân tương tác với những phần tử có vẻ vô hại này, các cú nhấp chuột của họ được chuyển hướng bí mật đến các biểu mẫu trình quản lý mật khẩu ẩn, kích hoạt việc điền dữ liệu tự động gửi thông tin nhạy cảm trực tiếp đến các máy chủ do kẻ tấn công kiểm soát.
Phương pháp khai thác kỹ thuật
Tóth đã trình diễn nhiều biến thể tấn công trong bài thuyết trình của mình, bao gồm thao túng trực tiếp các phần tử mô hình đối tượng tài liệu, thay đổi độ mờ của phần tử gốc và các kỹ thuật che phủ giao diện một phần hoặc toàn bộ. Một phương pháp đặc biệt đáng lo ngại bao gồm việc làm cho giao diện độc hại theo dõi con trỏ chuột của người dùng, đảm bảo rằng bất kỳ cú nhấp nào ở bất cứ đâu trên trang đều kích hoạt việc tự động điền dữ liệu không mong muốn. Nhà nghiên cứu cũng đã phát triển một script tấn công phổ quát có khả năng xác định trình quản lý mật khẩu nào đang hoạt động trong trình duyệt của nạn nhân và điều chỉnh phương pháp tấn công một cách linh hoạt theo thời gian thực.
Các Phương Thức Tấn Công Được Chứng Minh
- Thao Tác Độ Trong Suốt Trực Tiếp Phần Tử DOM: Làm cho các phần tử trình quản lý mật khẩu trở nên trong suốt
- Thao Tác Độ Trong Suốt Phần Tử Gốc: Ảnh hưởng đến khả năng hiển thị của toàn bộ giao diện
- Thao Tác Độ Trong Suốt Phần Tử Cha: Nhắm mục tiêu vào các phần tử chứa
- Phủ Lớp Một Phần/Toàn Phần: Che phủ các phần tử hợp pháp bằng các phần tử giả mạo
- Theo Dõi Con Trỏ Chuột: Các phần tử giao diện người dùng theo dõi chuyển động của con trỏ để nhấp chuột toàn diện
- Script Tấn Công Toàn Diện: Tự động phát hiện trình quản lý mật khẩu đang hoạt động và điều chỉnh cuộc tấn công
Phản hồi của nhà cung cấp và tình trạng hiện tại
Phản hồi từ các công ty trình quản lý mật khẩu có sự khác biệt, phản ánh các cách tiếp cận khác nhau để giải quyết những lo ngại về bảo mật này. Bitwarden đã thừa nhận các lỗ hổng một cách nhanh chóng và phát hành bản sửa lỗi trong phiên bản 2025.8.0, hiện đang được triển khai trên các cửa hàng tiện ích mở rộng trình duyệt. Tuy nhiên, cả 1Password và LastPass ban đầu đều phân loại các lỗ hổng được báo cáo là mang tính thông tin, cho thấy họ không coi chúng là các vấn đề ưu tiên cần khắc phục ngay lập tức. LastPass sau đó đã chỉ ra rằng họ đang làm việc để giải quyết các vấn đề trong khi nhấn mạnh các biện pháp bảo vệ hiện có như lời nhắc pop-up trước khi tự động điền dữ liệu nhạy cảm.
Các Trình Quản Lý Mật Khẩu và Phiên Bản Bị Ảnh Hưởng
| Trình Quản Lý Mật Khẩu | Phiên Bản Bị Ảnh Hưởng | Trạng Thái |
|---|---|---|
| 1Password | 8.11.4.27 | Được phân loại là "thông tin" |
| Bitwarden | 2025.7.0 | Đã khắc phục trong phiên bản 2025.8.0 |
| Enpass | 6.11.6 | Đã triển khai một phần biện pháp khắc phục trước đó |
| iCloud Passwords | 3.1.25 | Trạng thái chưa rõ ràng |
| LastPass | 4.146.3 | Đang làm việc để khắc phục |
| LogMeOnce | 7.12.4 | Không có phản hồi |
Tác động ngành và các phiên bản bị ảnh hưởng
Các lỗ hổng ảnh hưởng đến các phiên bản cụ thể của mỗi trình quản lý mật khẩu, bao gồm 1Password phiên bản 8.11.4.27, Bitwarden phiên bản 2025.7.0, Enpass phiên bản 6.11.6, iCloud Passwords phiên bản 3.1.25, LastPass phiên bản 4.146.3 và LogMeOnce phiên bản 7.12.4. Đáng chú ý, một số công ty khác trong ngành bao gồm Dashlane , NordPass , Proton Pass , RoboForm và Keeper đã phản hồi nhanh chóng với các bản vá hoặc cập nhật trước khi tiết lộ công khai, chứng minh rằng việc khắc phục nhanh chóng là có thể khi các nhà cung cấp ưu tiên những vấn đề bảo mật này.
Các biện pháp bảo vệ được khuyến nghị
Cho đến khi các bản sửa lỗi toàn diện được triển khai trên tất cả các nền tảng, các chuyên gia bảo mật khuyến nghị một số biện pháp bảo vệ cho người dùng trình quản lý mật khẩu. Bước hiệu quả nhất ngay lập tức bao gồm việc tắt các chức năng tự động điền trong các tiện ích mở rộng trình quản lý mật khẩu và chuyển sang quy trình sao chép-dán thủ công để xử lý thông tin đăng nhập. Người dùng trình duyệt dựa trên Chromium nên cấu hình cài đặt truy cập trang web ở chế độ khi nhấp, cho phép kiểm soát thủ công chức năng tự động điền. Ngoài ra, duy trì sự cảnh giác cao độ khi gặp phải các lớp phủ web đáng ngờ, pop-up hoặc các phần tử giao diện bất ngờ có thể giúp ngăn chặn các cuộc tấn công thành công.
Các Bước Bảo Vệ Ngay Lập Tức
- Tắt Tính Năng Tự Động Điền: Tắt chức năng tự động điền trong các tiện ích mở rộng quản lý mật khẩu
- Sử Dụng Sao Chép-Dán: Thủ công sao chép và dán thông tin đăng nhập thay vì sử dụng tự động điền
- Cấu Hình Cài Đặt Trình Duyệt: Thiết lập các trình duyệt dựa trên Chromium ở chế độ "khi nhấp chuột" để truy cập tiện ích mở rộng
- Cập Nhật Phần Mềm: Đảm bảo cài đặt phiên bản mới nhất của các trình quản lý mật khẩu
- Thận Trọng Khi Sử Dụng: Cảnh giác với các cửa sổ bật lên đáng nghi, lớp phủ và các thành phần giao diện khả nghi
Tác động bảo mật dài hạn
Phát hiện này làm nổi bật những lo ngại rộng lớn hơn về kiến trúc bảo mật của các tiện ích mở rộng trình duyệt và những thách thức trong việc bảo vệ dữ liệu nhạy cảm trong môi trường web ngày càng phức tạp. Trong khi một số nhà cung cấp cho rằng clickjacking đại diện cho một rủi ro bảo mật web tổng quát được giảm thiểu truyền thống bởi các mô hình bảo mật trình duyệt thay vì chỉ phần mềm quản lý mật khẩu, việc trình diễn thành công các cuộc tấn công này cho thấy rằng các biện pháp bảo vệ bổ sung là cần thiết. Sự cố này nhấn mạnh tầm quan trọng của việc kiểm toán bảo mật thường xuyên đối với các công cụ quản lý mật khẩu và nhu cầu về các tiêu chuẩn toàn ngành giải quyết các lỗ hổng cụ thể của tiện ích mở rộng.