8月22日科技快讯:安全研究人员在DEF CON 33黑客大会上揭露了一个潜在风险 —— 市面上六大主流密码管理器的浏览器扩展版本(包括LastPass、1Password、Bitwarden、Enpass、iCloud Passwords以及LogMeOnce)存在点击劫持漏洞,目前仍有约4000万用户面临安全威胁。
技术说明:点击劫持是一种网络攻击手段,黑客会在正常网页上覆盖透明的伪造界面元素(比如虚假的确认框或验证码),诱导用户进行点击操作,从而在不知情的情况下触发密码管理器的自动填充功能。

研究人员Tóth在其演示中发现,当用户误以为自己是在操作常规网页元素时,实际上可能正在泄露账号密码、身份验证码甚至银行卡信息。更令人担忧的是,攻击者还能通过特定脚本检测用户正在使用的密码管理器类型,并针对性地调整攻击方式。

这次研究共测试了11款主流密码管理器,其中6款存在严重的点击劫持漏洞。目前Bitwarden已在2025.8.0版本中修复该问题并推送更新,Enpass则采取了一些缓解措施。

值得关注的是,Dashlane、NordPass、Proton Pass、RoboForm和Keeper等竞品已提前发布安全补丁。而1Password和LastPass最初仅将该漏洞标记为"信息性"问题暂未紧急修复,LogMeOnce则至今未作回应。

