Alcuni noti password manager sono vulnerabili ad attacchi di clickjacking: a rischio i dati degli utenti

Alcuni noti password manager sono vulnerabili ad attacchi di clickjacking: a rischio i dati degli utenti

Secondo una ricerca, diversi noti password manager sono vulnerabili ad attacchi di clickjacking che potrebbero esporre i dati degli utenti: la falla riguarda, in particolare, le estensioni per browser dei gestori di password

di pubblicata il , alle 17:01 nel canale Sicurezza
 

Il password manager è un servizio molto utile, in quanto consente di salvare le credenziali di accesso e di pagamento e di semplificare le procedure di autenticazione, con un funzionamento multi-dispositivo e multi-piattaforma che permette di avere sempre con sé i propri dati.

Per un corretto funzionamento, naturalmente, un password manager non può prescindere dall'utilizzo di un software sicuro e privo di vulnerabilità. Anche una sola falla, infatti, può mettere a rischio i dati degli utenti, compromettendo l'efficacia del servizio.

Come confermano i risultati di una ricerca, alcuni dei principali password manager sono attualmente vulnerabili a falle di clickjacking che possono rappresentare una minaccia concreta per milioni di utenti.

Una minaccia da non sottovalutare

Il clickjacking è una particolare tipologia di attacco informatico che punta a ingannare l'utente, inducendolo a cliccare su un elemento diverso da quello che si pensa di selezionare. Questa tecnica può essere utilizzata per vari scopi.

Secondo i risultati dell'indagine, realizzata dal ricercatore indipendente Marek Toth (i risultati sono stati pubblicati sul suo sito web) alcune estensioni per browser dei principali gestori di password sono vulnerabili a questo tipo di attacco.

In particolare, l'esecuzione di uno script su un sito web dannoso o compromesso può ingannare l'utente e mettere a rischio i dati (come le credenziali di accesso e di pagamento) custoditi dal password manager.

La vulnerabilità può essere sfruttata in vari modi ed è anche possibile utilizzare uno script in grado di adattare in tempo reale l'attacco al tipo di password manager utilizzato (considerando quelli vulnerabili a questa minaccia).

Toth ha avvertito le aziende che distribuiscono i password manager testati (11 in totale, scelti tra i più utilizzati). Secondo quanto rivelato dallo stesso ricercatore, la segnalazione della vulnerabilità è arrivata lo scorso aprile e le aziende sono state informate in merito alla pubblicazione dei risultati che sarebbe avvenuta ad agosto.

Al momento, sei password manager (1Password, Bitwarden, Enpass, iCloud Passwords, LastPass e LogMeOnce), per un totale di 40 milioni di utenti, sarebbero ancora vulnerabili, anche solo parzialmente, alla minaccia emersa dall'indagine. Come riportato da Bleepingcomputer, alcune aziende, come LastPass e LogMeOnce, hanno confermato di essere al lavoro per la risoluzione.

I migliori sconti su Amazon oggi
-21%

Apple Portatile MacBook Air 13'' con chip M4 (2025): progettato per Apple Intelligence, display Liquid Retina da 13,6'', 16GB di memoria unificata, 256GB di archiviazione SSD, Touch ID; Argento

1149.00 903.99 Compra ora
-30%

XIAOMI TV F 65, 65 pollici (165 cm),4K UHD,Smart TV, Fire TV,Triple Tuner DVB-C/S/S2/T/T2, HDR10,MEMC, Modalità Game Boost 120Hz, Controllo Vocale Alexa, 2GB+32GB, Compatibile con AirPlay

569.00 399.00 Compra ora
-30%

Bosch Set da 34 Pezzi di punte e bit avvitamento in titanio X-Line (per legno, pietra e metallo, accessori trapano)

9.95 Compra ora
27 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
alexfri21 Agosto 2025, 18:38 #1
Quando tutti scrivevano la combinazione dell'armadietto, della cassaforte ecc, sui taccuini, tu scrivila sui primissimi computer, quando tutti cercano le password dentro i vostri computer.. scrivetele su un taccuino di carta...offline.
marcram21 Agosto 2025, 18:51 #2
Originariamente inviato da: alexfri
Quando tutti scrivevano la combinazione dell'armadietto, della cassaforte ecc, sui taccuini, tu scrivila sui primissimi computer, quando tutti cercano le password dentro i vostri computer.. scrivetele su un taccuino di carta...offline.

Quando hai 50 password di 20-30 caratteri e simboli (a volte da cambiare regolarmente) e 15 seed di TOTP, hai voglia ad usare il taccuino di carta...
Silent Bob21 Agosto 2025, 19:48 #3
io mai usati, ma tralasciando gli altri, mai sentiti, 1Password non aveva già subito qualcosa del genere tempo fa o mi confondo con altro?
maldepanza21 Agosto 2025, 20:05 #4
Originariamente inviato da: alexfri
Quando tutti scrivevano la combinazione dell'armadietto, della cassaforte ecc, sui taccuini, tu scrivila sui primissimi computer, quando tutti cercano le password dentro i vostri computer.. scrivetele su un taccuino di carta...offline.

Cazzate, guardacaso uno dei primi e quello che uso da lustri non è tra i violati (e vorrei vedere)
coschizza21 Agosto 2025, 20:37 #5
Originariamente inviato da: marcram
Quando hai 50 password di 20-30 caratteri e simboli (a volte da cambiare regolarmente) e 15 seed di TOTP, hai voglia ad usare il taccuino di carta...


io ho 143 password senza considerare quelle del lavoro
DelusoDaTiscali21 Agosto 2025, 21:03 #6
Originariamente inviato da: marcram
Quando hai 50 password di 20-30 caratteri e simboli (a volte da cambiare regolarmente) ...


Cosa meglio che memorizzarle in un password manager che a sua volta c' ha PWD "1234" e via così?
lammoth21 Agosto 2025, 21:04 #7
Originariamente inviato da: Silent Bob
io mai usati, ma tralasciando gli altri, mai sentiti, 1Password non aveva già subito qualcosa del genere tempo fa o mi confondo con altro?


E' LastPass che è stato bucato più volte e, nonostante ciò, pare che sia ancora il PW Manager più usato

Bitwarden e 1Password sono di un livello nettamente superiore. Entrambi oggi hanno rilasciato una versione aggiornata dell'estensione per ovviare a questo problema.

A mio avviso comunque non è un problema così grave:
- Se si usa un DNS che blocca i domini di phishing (Quad9, ControlD, NextDNS, ecc) già un 80% della problematica non sussiste più
- Se un sito attendibile viene infettato, molto probabilmente i dati e le credenziali che hai su quel sito sono già in mano agli hacker senza bisogno di abusare dell'autofill

C'è inoltre da dire che, se i PW Manager visualizzano ulteriori messaggi di conferma, da un lato evitano questi problemi dall'altro stufano l'utente che quindi smette di usarli, con tutti i rischi che ne conseguono...
marcram21 Agosto 2025, 21:12 #8
Originariamente inviato da: DelusoDaTiscali
Cosa meglio che memorizzarle in un password manager che a sua volta c' ha PWD "1234" e via così?


Che c'entra?
Se usi una password stupida, mica è colpa del password manager...
An.tani21 Agosto 2025, 22:13 #9
Keepass password manager

https://keepass.info/

gratis, opensource, multipiattaforma
Ciack22 Agosto 2025, 00:49 #10
Originariamente inviato da: An.tani
Keepass password manager

https://keepass.info/

gratis, opensource, multipiattaforma


Rilancio: https://keepassxc.org/
« Pagina Precedente     Pagina Successiva »

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^