Pesquisas recentes revelaram que plugins populares de gerenciadores de senhas para navegadores estão vulneráveis a ataques de clickjacking, que podem ser usados para roubar credenciais de contas, códigos de autenticação de dois fatores (2FA) e detalhes de cartões de crédito. O pesquisador Marek Tóth apresentou essa técnica, chamada de clickjacking baseado em Document Object Model (DOM), durante a conferência DEF CON 33. O ataque ocorre quando um site malicioso manipula elementos da interface de usuário (UI) em uma página da web, tornando-os invisíveis e induzindo o usuário a clicar em áreas aparentemente inofensivas. Isso pode resultar no preenchimento automático de informações sensíveis, que são então enviadas para um servidor remoto. O estudo focou em 11 extensões de gerenciadores de senhas, incluindo 1Password e iCloud Passwords, todas suscetíveis a esse tipo de ataque. Apesar da divulgação responsável, seis fornecedores ainda não corrigiram as falhas. Enquanto isso, recomenda-se que os usuários desativem a função de preenchimento automático e utilizem o método de copiar e colar para proteger suas informações. Para usuários de navegadores baseados em Chromium, é aconselhável configurar o acesso do site para ‘ao clicar’ nas configurações da extensão, permitindo um controle manual sobre a funcionalidade de preenchimento automático.
