Uma série de falhas de segurança do tipo "clickjacking", ainda por corrigir em várias das mais populares extensões de gestão de passwords, está a colocar dezenas de milhões de utilizadores em risco. As vulnerabilidades permitem que atacantes possam roubar credenciais de acesso, códigos de autenticação de dois fatores (2FA) e até detalhes de cartões de crédito.
O alerta foi dado pelo investigador de segurança independente Marek Tóth, durante a recente conferência de hacking DEF CON 33. As descobertas, validadas pela empresa de cibersegurança Socket, revelam que gigantes como 1Password, LastPass e Bitwarden estão entre os afetados, impactando um universo combinado de cerca de 40 milhões de utilizadores.
O ataque de clickjacking que o engana com um clique
A técnica explorada pelos atacantes é surpreendentemente engenhosa e assenta num engano visual. Ao visitar uma página maliciosa ou um site legítimo que tenha sido comprometido, os cibercriminosos conseguem sobrepor elementos HTML invisíveis por cima da interface do gestor de passwords.
Na prática, o utilizador pensa que está a interagir com elementos inofensivos da página, como um aviso de cookies, um CAPTCHA para provar que não é um robô ou um pop-up, mas na verdade, os seus cliques estão a ser registados em botões ocultos da extensão de passwords. Com um simples clique no sítio errado, a vítima pode inadvertidamente acionar a função de preenchimento automático, entregando de bandeja as suas informações mais sensíveis aos atacantes.
Segundo o blog de Marek Tóth, o ataque é versátil e pode ser adaptado em tempo real para funcionar contra o gestor de passwords específico que a vítima tem instalado no seu navegador.
Gigantes da indústria vulneráveis e respostas que desiludem
A investigação testou 11 dos mais conhecidos gestores de passwords, concluindo que seis deles continuam vulneráveis. Os fornecedores foram notificados das falhas em abril de 2025, meses antes da divulgação pública.
As versões vulneráveis no momento da publicação são:
1Password 8.11.4.27
Bitwarden 2025.7.0
Enpass 6.11.6
iCloud Passwords 3.1.25
LastPass 4.146.3
LogMeOnce 7.12.4
As respostas de algumas das empresas geraram preocupação. A 1Password e a LastPass desvalorizaram o relatório, classificando-o como "informativo" ou "fora do âmbito", argumentando que o clickjacking é um risco geral da web. A Bitwarden, embora tenha inicialmente minimizado a severidade, informou que uma correção está a ser implementada na versão 2025.8.0. Já a LogMeOnce não emitiu qualquer resposta.
Que gestores de passwords já corrigiram a falha?
Felizmente, nem todas as notícias são más. Várias empresas agiram rapidamente para proteger os seus utilizadores. Dashlane, NordPass, ProtonPass, RoboForm e Keeper já lançaram atualizações que corrigem estas vulnerabilidades. É fundamental que os utilizadores destes serviços garantam que têm a versão mais recente da extensão instalada.
Como pode proteger-se enquanto espera por uma solução?
Enquanto as empresas afetadas não lançam as devidas correções, a recomendação do investigador Marek Tóth é clara e direta: desative a função de preenchimento automático (autofill) nas definições do seu gestor de passwords.
A alternativa mais segura, por agora, é copiar e colar manualmente as suas credenciais e outras informações sensíveis. Embora seja um passo menos conveniente, é uma medida de segurança crucial para garantir a privacidade dos seus dados até que uma solução definitiva seja disponibilizada por todos os fornecedores.
Nenhum comentário
Seja o primeiro!