TechSpot 於 8月21日發佈的博文指出,DEF CON 33 黑客大會期間,安全研究人員披露了一項技術漏洞:包括 LastPass、1Password 等在內的六款主流密碼管理器,其瀏覽器擴展存在未修復的點擊劫持(Clickjacking)漏洞,該問題已對全球約 4000 萬用戶的信息安全構成威脅。
在點擊劫持攻擊中,網頁上看似常規的同意框或 CAPTCHA,可能是攻擊者覆蓋的透明或偽造元素。用戶點擊這些偽裝組件時,會誤觸發密碼管理器的自動填充功能,造成賬號密碼、認證碼甚至銀行卡信息悄然洩露。Tóth 的研究通過實例證明,攻擊者可借助腳本技術識別瀏覽器中活躍的密碼管理器,根據其特性優化攻擊方案,讓此類風險更難被用戶察覺。
研究覆蓋 11 款主流密碼管理器後確認,其中 6 款存在明顯安全漏洞,受影響用戶達 4000 萬。廠商應對情況如下:Bitwarden 已在 2025.8.0 版本中完成漏洞修復並推送更新;Enpass 此前已推出部分風險緩解措施;Dashlane、NordPass、Proton Pass、RoboForm 及 Keeper 等產品則提前發佈補丁解決問題。而 1Password 和 LastPass 初期僅將漏洞歸類為「信息性」問題,未啓動緊急修復流程;LogMeOnce 截至目前尚未對漏洞情況作出回應。
