Alcuni noti password manager sono vulnerabili ad attacchi di clickjacking: a rischio i dati degli utenti
Secondo una ricerca, diversi noti password manager sono vulnerabili ad attacchi di clickjacking che potrebbero esporre i dati degli utenti: la falla riguarda, in particolare, le estensioni per browser dei gestori di password
di Davide Raia pubblicata il 21 Agosto 2025, alle 17:01 nel canale SicurezzaIl password manager è un servizio molto utile, in quanto consente di salvare le credenziali di accesso e di pagamento e di semplificare le procedure di autenticazione, con un funzionamento multi-dispositivo e multi-piattaforma che permette di avere sempre con sé i propri dati.
Per un corretto funzionamento, naturalmente, un password manager non può prescindere dall'utilizzo di un software sicuro e privo di vulnerabilità. Anche una sola falla, infatti, può mettere a rischio i dati degli utenti, compromettendo l'efficacia del servizio.
Come confermano i risultati di una ricerca, alcuni dei principali password manager sono attualmente vulnerabili a falle di clickjacking che possono rappresentare una minaccia concreta per milioni di utenti.
Una minaccia da non sottovalutare
Il clickjacking è una particolare tipologia di attacco informatico che punta a ingannare l'utente, inducendolo a cliccare su un elemento diverso da quello che si pensa di selezionare. Questa tecnica può essere utilizzata per vari scopi.
Secondo i risultati dell'indagine, realizzata dal ricercatore indipendente Marek Toth (i risultati sono stati pubblicati sul suo sito web) alcune estensioni per browser dei principali gestori di password sono vulnerabili a questo tipo di attacco.
In particolare, l'esecuzione di uno script su un sito web dannoso o compromesso può ingannare l'utente e mettere a rischio i dati (come le credenziali di accesso e di pagamento) custoditi dal password manager.
La vulnerabilità può essere sfruttata in vari modi ed è anche possibile utilizzare uno script in grado di adattare in tempo reale l'attacco al tipo di password manager utilizzato (considerando quelli vulnerabili a questa minaccia).
Toth ha avvertito le aziende che distribuiscono i password manager testati (11 in totale, scelti tra i più utilizzati). Secondo quanto rivelato dallo stesso ricercatore, la segnalazione della vulnerabilità è arrivata lo scorso aprile e le aziende sono state informate in merito alla pubblicazione dei risultati che sarebbe avvenuta ad agosto.
Al momento, sei password manager (1Password, Bitwarden, Enpass, iCloud Passwords, LastPass e LogMeOnce), per un totale di 40 milioni di utenti, sarebbero ancora vulnerabili, anche solo parzialmente, alla minaccia emersa dall'indagine. Come riportato da Bleepingcomputer, alcune aziende, come LastPass e LogMeOnce, hanno confermato di essere al lavoro per la risoluzione.
SONY BRAVIA 8 II e BRAVIA Theatre System 6: il cinema a casa in formato compatto
KTC H27E6 a 300Hz e 1ms: come i rivali ma a metà prezzo
Cineca inaugura Pitagora, il supercomputer Lenovo per la ricerca sulla fusione nucleare
Una startup vuole rivoluzionare l'IA: Majestic Labs promette di aumentare di 1.000 volte la memoria per singolo sistema
Accumulo a batterie, l'Europa si sveglia: il più grande del continente in costruzione in Germania
Intel rende anche gli IHS modulari: più economici, più semplici e più performanti
Tesla perde ancora pezzi: lascia l'azienda anche il responsabile di Model Y
Bungie in crisi? Destiny 2 sotto le aspettative, Marathon per il riscatto. E Sony si gode Helldivers 2
PS5 festeggia cinque anni e supera 84 milioni di unità andando oltre le aspettative
Patreon lancia Quips, un social network interno per connettere creator e fan
Honda richiama oltre 400mila Civic: c'è il rischio che una ruota si stacchi durante la guida
Manipolazione robotica: Adaptronics chiude un round da 3,15 milioni
Singles' Day 2025: le offerte AliExpress da non perdere per la Festa dei Single
Nasce in Belgio il primo parco solare per la produzione di idrogeno verde al mondo
Grande festa in Cina, Fiido esagera: fino a 1.300 euro di sconto sulle e-bike
Terapia genica 'one-shot' abbatte colesterolo e trigliceridi: prima sperimentazione umana riuscita
Il primo sconto in assoluto di iPhone 17 Pro: 256 GB a 1.299€
27 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoQuando hai 50 password di 20-30 caratteri e simboli (a volte da cambiare regolarmente) e 15 seed di TOTP, hai voglia ad usare il taccuino di carta...
Cazzate, guardacaso uno dei primi e quello che uso da lustri non è tra i violati (e vorrei vedere)
io ho 143 password senza considerare quelle del lavoro
Cosa meglio che memorizzarle in un password manager che a sua volta c' ha PWD "1234" e via così?
E' LastPass che è stato bucato più volte e, nonostante ciò, pare che sia ancora il PW Manager più usato
Bitwarden e 1Password sono di un livello nettamente superiore. Entrambi oggi hanno rilasciato una versione aggiornata dell'estensione per ovviare a questo problema.
A mio avviso comunque non è un problema così grave:
- Se si usa un DNS che blocca i domini di phishing (Quad9, ControlD, NextDNS, ecc) già un 80% della problematica non sussiste più
- Se un sito attendibile viene infettato, molto probabilmente i dati e le credenziali che hai su quel sito sono già in mano agli hacker senza bisogno di abusare dell'autofill
C'è inoltre da dire che, se i PW Manager visualizzano ulteriori messaggi di conferma, da un lato evitano questi problemi dall'altro stufano l'utente che quindi smette di usarli, con tutti i rischi che ne conseguono...
Che c'entra?
Se usi una password stupida, mica è colpa del password manager...
https://keepass.info/
gratis, opensource, multipiattaforma
https://keepass.info/
gratis, opensource, multipiattaforma
Rilancio: https://keepassxc.org/
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".