Miljontals användare av flera ledande lösenordshanterare riskerar nu ökad utsatthet efter att forskare varnat för allvarliga säkerhetsbrister. Vid den senaste hackerkonferensen DEF CON 33 avslöjades att sårbarheter i form av så kallade clickjacking-attacker ännu inte har åtgärdats.
Utnyttjas bristerna kan angripare stjäla känslig information som inloggningsuppgifter, autentiseringskoder och finansiella data.
Säkerhetsforskaren Marek Tóth presenterade resultaten och pekade på att webbläsartillägg för sex olika lösenordshanterare är sårbara. Bland de drabbade finns 1Password, Bitwarden, Enpass, iCloud Passwords, LastPass och LogMeOnce. Enligt Tóth kvarstår bristerna även i de senaste versionerna av programmen som testades den 19 augusti 2025.
Clickjacking
Clickjacking är en teknik där angripare placerar osynliga knappar eller formulär ovanpå legitima webbsidor. När användaren klickar på det synliga innehållet aktiveras i själva verket dolda element. På så sätt kan känslig information exponeras utan att användaren förstår vad som händer.
Tóths arbete utvecklar tidigare kända metoder för clickjacking och visar hur de kan riktas mot webbläsartillägg. Angreppen kan exempelvis göra delar av lösenordshanteraren osynliga, lägga falska element ovanpå riktiga eller följa muspekaren så att varje klick riskerar att avslöja information.
Sårbarhet
Av de elva populära lösenordshanterare som testades visade samtliga minst en sårbarhet för denna typ av attack. Tóth kontaktade de berörda företagen redan i april 2025 för att informera dem i förväg innan sin presentation på DEF CON. Senare bekräftade säkerhetsföretaget Socket resultaten och arbetar nu tillsammans med utvecklarna för att tilldela officiella CVE-identifierare till de drabbade produkterna.
