Clickjacking

A Click Studios, desenvolvedora do gerenciador de senhas Passwordstate, anunciou a liberação de atualizações de segurança para corrigir uma vulnerabilidade de bypass de autenticação em seu software. A falha, que ainda não possui um identificador CVE, foi abordada na versão 9.9 (Build 9972), lançada em 28 de agosto de 2025. A empresa australiana informou que a vulnerabilidade permitia um ‘potencial bypass de autenticação ao usar uma URL cuidadosamente elaborada contra a página de Acesso de Emergência do Passwordstate’. Além disso, a nova versão inclui proteções aprimoradas contra ataques de clickjacking, que podem afetar a extensão do navegador do Passwordstate, especialmente se os usuários visitarem sites comprometidos. Essas melhorias são uma resposta a descobertas do pesquisador de segurança Marek Tóth, que destacou uma técnica de clickjacking baseada no Document Object Model (DOM) que afeta várias extensões de gerenciadores de senhas. A Click Studios atende 29.000 clientes, incluindo agências governamentais e empresas da Fortune 500. Esta atualização é particularmente relevante, considerando que a empresa já enfrentou um ataque à sua cadeia de suprimentos há mais de quatro anos, que comprometeu seu mecanismo de atualização de software.

O hacker ético Marek Tóth revelou vulnerabilidades críticas em gerenciadores de senha populares, como Dashlane, Nordpass e 1Password, durante a conferência DEF CON 33. As falhas, relacionadas ao clickjacking, permitem que elementos invisíveis sejam sobrepostos na tela, levando os usuários a fornecerem dados sensíveis, como números de cartões de crédito e credenciais de acesso. Tóth testou 11 gerenciadores de senha e encontrou que a maioria não implementou proteções adequadas contra essas técnicas de invasão. Apesar de algumas empresas terem atualizado suas extensões para corrigir as falhas, versões anteriores ainda podem estar vulneráveis. O hacker alertou as empresas sobre as vulnerabilidades meses antes de sua divulgação pública, mas algumas, como 1Password e LastPass, minimizaram a gravidade do problema. Tóth recomenda que os usuários desativem o preenchimento manual de senhas e mantenham suas extensões atualizadas para evitar ataques. Estima-se que até 40 milhões de pessoas possam ter sido afetadas por essas vulnerabilidades.

Pesquisas recentes revelaram que plugins populares de gerenciadores de senhas para navegadores estão vulneráveis a ataques de clickjacking, que podem ser usados para roubar credenciais de contas, códigos de autenticação de dois fatores (2FA) e detalhes de cartões de crédito. O pesquisador Marek Tóth apresentou essa técnica, chamada de clickjacking baseado em Document Object Model (DOM), durante a conferência DEF CON 33. O ataque ocorre quando um site malicioso manipula elementos da interface de usuário (UI) em uma página da web, tornando-os invisíveis e induzindo o usuário a clicar em áreas aparentemente inofensivas. Isso pode resultar no preenchimento automático de informações sensíveis, que são então enviadas para um servidor remoto. O estudo focou em 11 extensões de gerenciadores de senhas, incluindo 1Password e iCloud Passwords, todas suscetíveis a esse tipo de ataque. Apesar da divulgação responsável, seis fornecedores ainda não corrigiram as falhas. Enquanto isso, recomenda-se que os usuários desativem a função de preenchimento automático e utilizem o método de copiar e colar para proteger suas informações. Para usuários de navegadores baseados em Chromium, é aconselhável configurar o acesso do site para ‘ao clicar’ nas configurações da extensão, permitindo um controle manual sobre a funcionalidade de preenchimento automático.