Gerenciadores de senha vulneráveis a clickjacking

Zaira Silva Postado em

Gerenciadores de senha vulneráveis a clickjacking

Gerenciadores de senha vulneráveis a clickjacking colocam milhões de credenciais em risco, revelou o pesquisador independente Marek Tóth durante a DEF CON 33, em agosto de 2025. A falha zero-day afeta 1Password, Bitwarden, Enpass, iCloud Passwords, LastPass e LogMeOnce, todos muito utilizados em navegadores.

O que é o ataque de clickjacking

O clickjacking consiste em sobrepor elementos invisíveis à interface legítima para enganar o usuário. Ao clicar em um suposto banner ou CAPTCHA, a vítima aciona, sem perceber, o preenchimento automático do gerenciador de senhas; o código malicioso captura logins, senhas e até dados bancários.

Como o golpe opera na prática

  1. O usuário visita uma página maliciosa ou vulnerável a cross-site scripting ou cache poisoning.
  2. Scripts ajustam opacidade e sobreposição para esconder o menu do gerenciador.
  3. Elementos falsos — como pop-ups ou cookies banners — cobrem o campo de login.
  4. O clique aparentemente inofensivo dispara o preenchimento automático e vaza as credenciais.

Reação dos fornecedores

Todas as empresas foram notificadas em abril de 2025 e sabiam que a divulgação ocorreria em 25/08/2025. Segundo a empresa de cibersegurança Socket, que validou os testes, Bitwarden corrigiu o problema e diminuiu a severidade; 1Password e LastPass classificaram o relatório como “informativo”; LogMeOnce não respondeu. Dashlane, NordPass, ProtonPass, RoboForm e Keeper, embora não listados entre os seis, já emitiram correções relacionadas.

Dicas para se proteger agora

• Desative o preenchimento automático em sites desconhecidos; copie e cole as credenciais quando necessário.
• Verifique a URL antes de inserir dados de login.
• Mantenha seus gerenciadores e navegadores sempre atualizados.
• Redobre a atenção em páginas que exibem pop-ups ou solicitações inesperadas.

Para quem acompanha as tendências de segurança digital, a recomendação é monitorar futuras atualizações de cada serviço afetado e, se necessário, migrar temporariamente para opções já corrigidas.

Quer saber mais sobre ameaças emergentes? Visite o nosso conteúdo em Segurança e Tecnologia e continue informado.

Crédito da imagem: TecMundo

Gerenciadores de senha vulneráveis a clickjacking - Imagem do artigo

Imagem: Internet

Posts Similares

Deixe uma resposta

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.