Pesquisadores de segurança descobriram uma vulnerabilidade crítica em extensões de gerenciadores de senhas para navegadores, colocando em risco credenciais, códigos de autenticação (2FA) e até dados de cartões de crédito de milhões de pessoas ao redor do mundo.
A técnica foi batizada de “DOM-based extension clickjacking” pelo pesquisador Marek Tóth, que apresentou a descoberta durante a conferência de segurança DEF CON 33. Segundo ele, basta um único clique em um site malicioso para que informações sigilosas sejam roubadas.
🔎 Como funciona o ataque
O ataque é uma evolução do já conhecido clickjacking (ou “UI redressing”), no qual o usuário é enganado a clicar em algo que parece inofensivo — como fechar um pop-up ou aceitar cookies — mas, na prática, está interagindo com elementos ocultos controlados por hackers.
Na nova técnica, os invasores exploram janelas e campos de preenchimento automático injetados pelas extensões de senha no navegador. Eles tornam esses elementos invisíveis (opacidade zero) e os sobrepõem a outros itens da página.
Assim, quando a vítima interage com o site falso, o gerenciador de senhas preenche automaticamente as credenciais em um formulário oculto, e os dados são enviados diretamente ao servidor do atacante.
Tóth testou 11 gerenciadores populares, incluindo 1Password, LastPass, Bitwarden e iCloud Passwords, e todos se mostraram vulneráveis em algum nível.
📌 Extensões afetadas
Após a divulgação responsável, pelo menos seis empresas ainda não lançaram correções para o problema:
- 1Password Password Manager 8.11.4.27
- Apple iCloud Passwords 3.1.25
- Bitwarden Password Manager 2025.7.0
- Enpass 6.11.6
- LastPass 4.146.3
- LogMeOnce 7.12.4
Segundo a empresa de segurança Socket, algumas delas (Bitwarden, Enpass e iCloud Passwords) já estão trabalhando em patches. Porém, 1Password e LastPass classificaram a vulnerabilidade apenas como “informativa”, sem indicar prioridade para corrigir.
🔐 O que fazer até a correção?
Enquanto os patches oficiais não são liberados, especialistas recomendam:
- Desabilitar o preenchimento automático dos gerenciadores de senhas.
- Utilizar apenas copiar e colar manualmente as credenciais quando necessário.
- Em navegadores baseados em Chromium (Chrome, Edge, Brave), configurar as extensões para “ativar apenas ao clicar”.
Essa medida reduz o risco de que credenciais sejam preenchidas sem o consentimento do usuário.
👉 Essa descoberta mostra que, mesmo ferramentas projetadas para proteger dados sensíveis, como os gerenciadores de senhas, podem se tornar um alvo valioso para cibercriminosos. Manter-se atualizado e adotar boas práticas de segurança digital continua sendo a melhor defesa.
