Alcuni noti password manager sono vulnerabili ad attacchi di clickjacking: a rischio i dati degli utenti
Secondo una ricerca, diversi noti password manager sono vulnerabili ad attacchi di clickjacking che potrebbero esporre i dati degli utenti: la falla riguarda, in particolare, le estensioni per browser dei gestori di password
di Davide Raia pubblicata il 21 Agosto 2025, alle 17:01 nel canale SicurezzaIl password manager è un servizio molto utile, in quanto consente di salvare le credenziali di accesso e di pagamento e di semplificare le procedure di autenticazione, con un funzionamento multi-dispositivo e multi-piattaforma che permette di avere sempre con sé i propri dati.
Per un corretto funzionamento, naturalmente, un password manager non può prescindere dall'utilizzo di un software sicuro e privo di vulnerabilità. Anche una sola falla, infatti, può mettere a rischio i dati degli utenti, compromettendo l'efficacia del servizio.
Come confermano i risultati di una ricerca, alcuni dei principali password manager sono attualmente vulnerabili a falle di clickjacking che possono rappresentare una minaccia concreta per milioni di utenti.
Una minaccia da non sottovalutare
Il clickjacking è una particolare tipologia di attacco informatico che punta a ingannare l'utente, inducendolo a cliccare su un elemento diverso da quello che si pensa di selezionare. Questa tecnica può essere utilizzata per vari scopi.
Secondo i risultati dell'indagine, realizzata dal ricercatore indipendente Marek Toth (i risultati sono stati pubblicati sul suo sito web) alcune estensioni per browser dei principali gestori di password sono vulnerabili a questo tipo di attacco.
In particolare, l'esecuzione di uno script su un sito web dannoso o compromesso può ingannare l'utente e mettere a rischio i dati (come le credenziali di accesso e di pagamento) custoditi dal password manager.
La vulnerabilità può essere sfruttata in vari modi ed è anche possibile utilizzare uno script in grado di adattare in tempo reale l'attacco al tipo di password manager utilizzato (considerando quelli vulnerabili a questa minaccia).
Toth ha avvertito le aziende che distribuiscono i password manager testati (11 in totale, scelti tra i più utilizzati). Secondo quanto rivelato dallo stesso ricercatore, la segnalazione della vulnerabilità è arrivata lo scorso aprile e le aziende sono state informate in merito alla pubblicazione dei risultati che sarebbe avvenuta ad agosto.
Al momento, sei password manager (1Password, Bitwarden, Enpass, iCloud Passwords, LastPass e LogMeOnce), per un totale di 40 milioni di utenti, sarebbero ancora vulnerabili, anche solo parzialmente, alla minaccia emersa dall'indagine. Come riportato da Bleepingcomputer, alcune aziende, come LastPass e LogMeOnce, hanno confermato di essere al lavoro per la risoluzione.
TCL NXTPAPER 60 Ultra: lo smartphone che trasforma la lettura da digitale a naturale
Un fulmine sulla scrivania, Corsair Sabre v2 Pro ridefinisce la velocità nel gaming
Nokia Innovation Day 2025: l’Europa ha bisogno di campioni nelle telecomunicazioni
SpaceX: eseguito lo static fire di Ship 38 in vista dell'undicesimo lancio del razzo spaziale Starship
SSD Lexar NQ100 da 960GB a un super prezzo su Amazon: velocità fino a 550 MB/s a soli 46€
Samsung Galaxy S25 FE sotto i riflettori: taglio di prezzo di 100€ con coupon Amazon
Arlo Go 2: telecamere HD anche senza Wi-Fi, facili da usare e oggi a prezzi ottimi con queste offerte
Fine della partnership Samsung-Microsoft? Addio a OneDrive sui Galaxy
Baldur's Gate 3 adesso supporta nativamente Steam Deck e il merito è di un singolo sviluppatore
Mediatek lancia Dimensity 7360: il nuovo SoC di fascia media è quasi un rebranding
È stato inaugurato VLQ, il nuovo computer quantistico made in Europe per la ricerca europea
Esplosione di milionari crypto: ecco quanti ne ha creati Bitcoin in un solo anno
WORM (WriteOnce) & ActiveProtect: quando l'immutabilità diventa una difesa concreta
Android sui PC desktop sta per arrivare. Il CEO di Qualcomm non vede l'ora
YouTube riammette i creator bannati e accusa Biden di pressioni 'inaccettabili'
Lancio delle e-bike Engwe Engine Pro e EP-2 3.0 Boost. Come avere 150 euro di sconto subito
iFixit analizza l'iPhone 17 Pro: graffi sul modulo fotocamera e nuove sfide di riparabilità
27 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoQuando hai 50 password di 20-30 caratteri e simboli (a volte da cambiare regolarmente) e 15 seed di TOTP, hai voglia ad usare il taccuino di carta...
Cazzate, guardacaso uno dei primi e quello che uso da lustri non è tra i violati (e vorrei vedere)
io ho 143 password senza considerare quelle del lavoro
Cosa meglio che memorizzarle in un password manager che a sua volta c' ha PWD "1234" e via così?
E' LastPass che è stato bucato più volte e, nonostante ciò, pare che sia ancora il PW Manager più usato
Bitwarden e 1Password sono di un livello nettamente superiore. Entrambi oggi hanno rilasciato una versione aggiornata dell'estensione per ovviare a questo problema.
A mio avviso comunque non è un problema così grave:
- Se si usa un DNS che blocca i domini di phishing (Quad9, ControlD, NextDNS, ecc) già un 80% della problematica non sussiste più
- Se un sito attendibile viene infettato, molto probabilmente i dati e le credenziali che hai su quel sito sono già in mano agli hacker senza bisogno di abusare dell'autofill
C'è inoltre da dire che, se i PW Manager visualizzano ulteriori messaggi di conferma, da un lato evitano questi problemi dall'altro stufano l'utente che quindi smette di usarli, con tutti i rischi che ne conseguono...
Che c'entra?
Se usi una password stupida, mica è colpa del password manager...
https://keepass.info/
gratis, opensource, multipiattaforma
https://keepass.info/
gratis, opensource, multipiattaforma
Rilancio: https://keepassxc.org/
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".