Image by Volodymyr Kondriianenko, from Unsplash
Passwort-Manager leaken Daten bei neuem Clickjacking-Angriff
Lesezeit: 2 Min.
Zuletzt aktualisiert: Aug 21, 2025
-
![Kiara Fabbri]()
-
![Das Team für Lokalisierung und Übersetzung]()
Übersetzt von Das Team für Lokalisierung und Übersetzung Lokalisierungs- und Übersetzungsdienstleistungen
Eine neue Studie warnt, dass Millionen von Passwort-Manager-Nutzern anfällig für einen gefährlichen Browser-Exploit namens „DOM-basiertes Extension Clickjacking“ sein könnten.
Eilig? Hier sind die schnellen Fakten:
- Angreifer können Benutzer dazu verleiten, Daten mit einem falschen Klick automatisch auszufüllen.
- Zu den durchgesickerten Daten gehören Kreditkarten, Anmeldeinformationen und sogar Zwei-Faktor-Codes.
- 32,7 Millionen Benutzer bleiben ungeschützt, da einige Anbieter die Schwachstellen noch nicht behoben haben.
Die Forscherin hinter den Ergebnissen erklärte: „Clickjacking ist immer noch eine Sicherheitsbedrohung, aber es ist notwendig, von Webanwendungen auf Browser-Erweiterungen umzusteigen, die heutzutage beliebter sind (Passwort-Manager, Krypto-Wallets und andere).“
Der Angriff funktioniert, indem Benutzer dazu verleitet werden, auf gefälschte Elemente zu klicken, einschließlich Cookie-Banner und Captcha-Pop-ups, während ein unsichtbares Skript heimlich die Autofill-Funktion des Passwort-Managers aktiviert. Die Forscher erklären, dass die Angreifer nur einen Klick benötigten, um sensible Informationen zu stehlen.
„Ein einziger Klick irgendwo auf einer von Angreifern kontrollierten Website könnte es Angreifern ermöglichen, die Daten der Benutzer zu stehlen (Kreditkartendetails, persönliche Daten, Anmeldeinformationen einschließlich TOTP)“, heißt es im Bericht.
Die Forscherin testete 11 beliebte Passwort-Manager, darunter 1Password, Bitwarden, Dashlane, Keeper, LastPass und iCloud Passwörter. Die Ergebnisse waren alarmierend: „Alle waren anfällig für ‚DOM-basiertes Extension Clickjacking‘. Zehn Millionen von Nutzern könnten gefährdet sein (~40 Millionen aktive Installationen).“
Die Tests ergaben, dass sechs von neun Passwort-Managern Kreditkartendetails preisgaben, während acht von zehn Managern persönliche Informationen durchsickern ließen. Darüber hinaus ermöglichten zehn von elf Angreifern, gespeicherte Anmeldeinformationen zu stehlen. In einigen Fällen könnten sogar Zwei-Faktor-Authentifizierungscodes und Passschlüssel gefährdet sein.
Obwohl die Anbieter bereits im April 2025 gewarnt wurden, stellen die Forscher fest, dass einige von ihnen, wie Bitwarden, 1Password, iCloud Passwords, Enpass, LastPass und LogMeOnce, die Schwachstellen noch nicht behoben haben. Dies ist besonders beunruhigend, da es schätzungsweise 32,7 Millionen Nutzer dieser Attacke aussetzt.
Die Forscher kamen zu dem Schluss: „Die beschriebene Methode ist allgemein und ich habe sie nur an 11 Passwort-Managern getestet. Andere DOM-manipulierende Erweiterungen sind wahrscheinlich ebenfalls anfällig (Passwort-Manager, Krypto-Wallets, Notizen usw.).“
Vorheriger Post
Neueste Artikel 
