Web tarayıcıları için popüler şifre yöneticisi eklentileri, belirli koşullar altında hesap kimlik bilgilerini, iki faktörlü kimlik doğrulama (2FA) kodlarını ve kredi kartı ayrıntılarını çalmak için kullanılabilecek güvenlik açıklamalarını tıklamaya karşı hassas bulunmuştur.
Teknik, bu ayın başlarında DEF Con 33 Güvenlik Konferansı’nda bulguları sunan bağımsız güvenlik araştırmacısı Marek Tóth tarafından Belge Nesne Modeli (DOM) tabanlı uzantı tıklama ile adlandırıldı.
Tóth, “Saldırgan kontrollü bir web sitesinde herhangi bir yerde tek bir tıklama, saldırganların kullanıcıların verilerini (kredi kartı detayları, kişisel veriler, TOTP dahil giriş bilgileri) çalmasına izin verebilir.” Dedi. “Yeni teknik geneldir ve diğer uzatma türlerine uygulanabilir.”
UI düzeltmesi olarak da adlandırılan ClickJacking, kullanıcıların, gerçekte saldırganın teklifini yanlışlıkla gerçekleştirdiklerinde, düğmelere tıklamak gibi görünüşte zararsız görünen bir web sitesinde bir dizi eylem gerçekleştirme konusunda kandırıldığı bir saldırı türünü ifade eder.
Tóth tarafından detaylandırılan yeni teknik, esasen, tarayıcı uzantılarının DOM’a enjekte ettiği bir web sayfasında UI öğelerini manipüle etmek için kötü amaçlı bir komut dosyası kullanmayı içerir-örneğin, opaklıklarını sıfır olarak belirleyerek görünmez hale getirerek otomatik dolgu istemleri.
Araştırma, özellikle DOM tabanlı uzantı tıklamasına duyarlı olduğu tespit edilen, 1Password’den iCloud şifrelerine kadar değişen 11 popüler şifre yöneticisi tarayıcı eklentisine odaklandı. Toplu olarak, bu uzantıların milyonlarca kullanıcısı var.
Saldırıyı çekmek için, kötü bir aktörün yapması gereken tek şey, bir giriş ekranı veya çerez onay başlığı gibi müdahaleci bir açılır site oluşturmak, görünmez bir giriş formu yerleştirirken, pop-up’ı kapatmak için siteye tıklamak, kimlik bilgisinin şifre yöneticisi tarafından otomatik olarak doldurulmasına ve bir uzak sunucuya verilmesine neden olacak.
Tóth, “Tüm şifre yöneticileri kimlik bilgilerini sadece ‘ana’ alana değil, aynı zamanda tüm alt alanlara da doldurdu.” “Bir saldırgan XSS veya diğer güvenlik açıklarını kolayca bulabilir ve kullanıcının depolanan kimlik bilgilerini TOTP (11 üzerinden 9) dahil olmak üzere tek bir tıklamayla (11 üzerinden 9) çalabilir. Bazı senaryolarda passey kimlik doğrulaması da kullanılabilir (11 üzerinden 8).”
Sorumlu açıklamanın ardından, satıcılardan altısı henüz kusur için düzeltmeler yayınlamamıştır –
- 1Password Parola Yöneticisi 8.11.4.27
- Apple iCloud şifreleri 3.1.25
- Bitwarden Parola Yöneticisi 2025.7.0
- Enpass 6.11.6
- LastPass 4.146.3
- Logmeonce 7.12.4
Araştırmayı bağımsız olarak inceleyen yazılım tedarik zinciri güvenlik firması soketi, Bitwarden, Enpass ve iCloud şifrelerinin aktif olarak düzeltmeler üzerinde çalıştığını, 1Password ve LastPass bunları bilgilendirici olarak işaretlediğini söyledi. Ayrıca, belirlenen sorunlar için CVE tanımlayıcıları atamak için ABD-CERT’e ulaşmıştır.
Düzeltmeler mevcut olana kadar, kullanıcıların şifre yöneticilerindeki otomatik doldurma işlevini devre dışı bırakmaları ve yalnızca kopyalama/yapıştırma kullanmaları önerilir.
Tóth, “Chromium tabanlı tarayıcı kullanıcıları için, uzantı ayarlarında site erişimini ‘onda tıklamaya’ yapılandırmanız önerilir.” Dedi. “Bu yapılandırma, kullanıcıların otomatik doldurma işlevini manuel olarak kontrol etmelerini sağlar.”