Một lỗ hổng bảo mật nghiêm trọng có tên "clickjacking" vừa được phát hiện trên các tiện ích mở rộng (extension) của hàng loạt trình quản lý mật khẩu hàng đầu, đặt hàng triệu người dùng trước nguy cơ bị đánh cắp thông tin đăng nhập, thẻ tín dụng và dữ liệu cá nhân chỉ bằng một cú nhấp chuột.
Tại hội nghị hacker DEF CON 33 vừa qua, nhà nghiên cứu bảo mật Marek Tóth đã công bố một phát hiện đáng báo động về việc các tiện ích mở rộng của 1Password, LastPass, Bitwarden, Enpass, iCloud Passwords và LogMeOnce đều có thể bị tấn công bằng kỹ thuật clickjacking. Nếu bị khai thác, tin tặc có thể lừa người dùng, khiến họ vô tình tự động điền (autofill) thông tin nhạy cảm vào các ô nhập thông tin bị che giấu.
Hàng loạt trình quản lý mật khẩu danh tiếng dính lỗ hổng nghiêm trọng.
Clickjacking là một thủ đoạn tinh vi, trong đó kẻ tấn công sẽ tạo ra một trang web và phủ một lớp nội dung vô hình hoặc giả mạo (ví dụ: một biểu ngữ chấp thuận cookie, một bài kiểm tra CAPTCHA giả) lên trên giao diện thật của trình quản lý mật khẩu.
Khi người dùng nhấp vào nút "Chấp nhận" hoặc một ô tưởng chừng vô hại, thực chất họ đang nhấp vào nút "Autofill" bị ẩn bên dưới. Ngay lập tức, tên đăng nhập, mật khẩu hoặc thông tin thẻ tín dụng sẽ bị điền vào một biểu mẫu ẩn và gửi về cho kẻ tấn công mà nạn nhân không hề hay biết.
Theo báo cáo, sáu nhà cung cấp nói trên có tổng cộng khoảng 40 triệu người dùng đang gặp rủi ro. Tuy nhiên, một số công ty đã nhanh chóng hành động như Dashlane, NordPass, Proton Pass, RoboForm, Keeper và Bitwarden (đã phát hành bản vá trong phiên bản 2025.8.0).
Phản ứng của các công ty cũng rất khác nhau. Trong khi Bitwarden nhanh chóng thừa nhận và vá lỗi, thì 1Password và LastPass ban đầu chỉ xem đây là lỗ hổng "mang tính thông tin", không yêu cầu khắc phục ngay. LogMeOnce thậm chí không phản hồi lại các liên lạc từ nhà nghiên cứu.
Cho đến khi tất cả các nhà cung cấp tung ra bản vá toàn diện, các chuyên gia bảo mật khuyến nghị người dùng nên thực hiện ngay các bước sau để tự bảo vệ mình:
- Tắt tính năng tự động điền (autofill), đây là biện pháp quan trọng nhất. Hãy vào phần cài đặt của tiện ích mở rộng và vô hiệu hóa chức năng tự động điền thông tin đăng nhập và thanh toán.
- Sử dụng copy-paste vì tự động điền, hãy dùng cách thủ công là copy và paste mật khẩu từ trình quản lý.
- Kiểm tra và cập nhật tiện ích mở rộng lên phiên bản mới nhất.
- Hết sức thận trọng với các trang web lạ hoặc các cửa sổ pop-up, biểu ngữ yêu cầu tương tác bất thường.
Bạch Ngân - TechSpot
