Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

l’analisi tecnica

Password manager vulnerabili a una nuova forma di clickjacking: i dettagli

Home Attacchi hacker e Malware: le ultime news in tempo reale e gli approfondimenti
Indirizzo copiato

La tecnica di attacco sfrutta un semplice stratagemma per dirottare il click dell’utente e sottrargli le credenziali di accesso. Ecco come funziona e perché rappresenta un rischio anche per le aziende

Pubblicato il 26 ago 2025
Password manager vulnerabilità

L’ennesimo scricchiolio che segnala la debolezza dei sistemi di autenticazione tramite username e password arriva dal DEF CON 33, convegno che ad agosto ha visto la partecipazione di decine di esperti di cyber security nella sede di Las Vegas.

Tra questi anche Marek Tóth, un ricercatore indipendente che ha presentato il suo studio su una tecnica di attacco che permette di indurre i più diffusi password manager a fornire le credenziali di accesso a qualsiasi servizio.

L’attacco è definito come “DOM-based Extension Clickjacking”, cioè come un “dirottamento dell’estensione basato sul Document Object Model”.

In altre parole, Tóth ha trovato un modo per utilizzare una particolare struttura degli elementi che compongono un sito Web per ingannare i visitatori e fare in modo che, se hanno un password manager attivo, quest’ultimo compili automaticamente i campi con le credenziali di un determinato servizio.

Come funziona il clickjacking

Da un punto di vista pratico, l’eventuale attaccante deve solo pubblicare una pagina Web malevola (o modificarne una legittima) e attirare la vittima su di essa.

La pagina in questione sfrutta una classica tecnica di clickjacking, quella cioè di prevedere un iframe invisibile (con opacità impostata a 0) e sovrapporgli un qualsiasi elemento visibile (come un captcha o una richiesta di approvazione dei cookie) sul quale il visitatore è portato a fare click senza porsi troppe domande.

Non si tratta di una novità: lo stesso Tóth aveva già in passato segnalato vulnerabilità di questo genere, che avevano portato all’adozione di accorgimenti per mitigare il rischio che qualcuno potesse utilizzare tecniche simili per avviare processi indesiderati attraverso il dirottamento dei click.

Ciò che cambia nella nuova versione messa a punto dal ricercatore, è il coinvolgimento dei password manager. Un elemento che può portare facilmente, come spiega l’autore del report, al furto di credenziali o dei dati di una carta di credito.

Un piccolo gioco di prestigio

Da quanto esposto in precedenza, indurre un utente a fare un click indesiderato sul modulo di compilazione dei campi per l’accesso ai servizi non è particolarmente difficile.

A rendere più semplice il tutto, spiega Tóth, c’è il fatto che tutti i password manager più diffusi non si limitano a riconoscere l’homepage di un servizio di cui hanno in memoria le credenziali, ma anche tutti i sottodomini.

Questo rende più probabile la possibilità che l’attaccante riesca a inserire anche in una pagina Web legittima un iframe che consenta di ingannare l’estensione del password manager e indurlo così a inviare le informazioni per l’accesso, che il cyber criminale può intercettare. Tutto quello che deve fare è trovare una qualsiasi pagina una vulnerabilità XSS che gli consenta di farlo.

Il vero “tocco di classe” introdotto dal ricercatore è l’uso di un javascript per rendere trasparente (invisibile) anche l’estensione del password manager e, in questo modo, nascondere completamente l’attività malevola in corso.

Password manager vulnerabilità figura 1
Fonte: Marek Tóth.

In sintesi: la vittima pensa di aver fatto una qualsiasi operazione di routine, come accettare/rifiutare i cookie o risolvere un captcha, mentre in realtà ha inviato dati sensibili contenenti i dati della sua carta di credito o le credenziali di accesso a un sito. Tutto avviene senza che sullo schermo compaia alcun indizio.

Variazioni sul tema

Stando a quanto scrive il ricercatore, è possibile rendere ancora più efficace la tecnica di attacco introducendo alcuni accorgimenti. Sarebbe possibile, per esempio, fare in modo che la User Interface (UI) venga arricchita con un javascript che è in grado di “seguire” il puntatore del mouse, in modo che qualsiasi click all’interno della pagina porti all’invio delle credenziali.

Secondo Marek Tóth, inoltre, la tecnica permetterebbe di sottrarre non solo i classici username e password, ma anche le passkey. Sempre che, ovviamente, la gestione sia stata affidata al password manager.

Infine, l’esperto di sicurezza sarebbe riuscito a creare un unico script in grado di identificare il tipo di password manager utilizzato dal visitatore e che può, di conseguenza, adattare automaticamente la tecnica allo specifico prodotto usato dalla vittima.

Nel complesso, nella ricerca c’è abbastanza sostanza per far scattare un vero “allarme rosso” a livello di sicurezza. Con queste premesse, infatti, qualsiasi cyber criminale potrebbe avviare una campagna di attacchi in grande stile.

Tanti password manager (ancora) vulnerabili

Nella sua analisi, Marek Tóth ha preso di mira 11 dei più popolari password manager. Dai risultati dei test, la stragrande maggioranza di questi è vulnerabile al DOM-based Extension Clickjacking.

Password manager vulnerabilità figura 2
Fonte: Marek Tóth.

Il vero problema, però, è che non tutti hanno preso sul serio la sua segnalazione. Tóth spiega di aver inviato i dettagli della vulnerabilità lo scorso aprile, segnalando come deadline per la pubblicazione dei dettagli proprio il mese di agosto, quando avrebbe illustrato il risultato della sua ricerca nel corso di DEF CON 33.

Molti degli sviluppatori contattati, però, hanno ignorato la segnalazione o minimizzato l’impatto che potrebbe avere sulla sicurezza degli utenti. Considerato chi ha ritenuto che la segnalazione avesse solo un valore “informativo”, chi starebbe ancora lavorando sugli aggiornamenti e chi non ha risposto affatto alla segnalazione di Tóth, il bilancio è di un 50% di prodotti ancora vulnerabili.

Password manager vulnerabilità figura 3
Fonte: Marek Tóth.

E se il rischio sventolato dal ricercatore è che possa essere imminente un’ondata di attacchi che potrebbe coinvolgere oltre 40 milioni di utenti sul web (questa la stima del numero di utilizzatori dei password manager sottoposti ai test) le cose non vanno meglio per le aziende.

Uno strumento nelle mani dei gruppi ransomware?

Nel suo report, l’esperto di sicurezza spiega chiaramente che l’efficacia della tecnica non si limita ai password manager segnalati nel testo. Molto semplicemente, Tóth ha usato questi prodotti come benchmark semplicemente a causa della loro popolarità.

È probabile, di conseguenza, che qualsiasi password manager che utilizza un’estensione per browser abbia gli stessi problemi. Anche quelli utilizzati in ambito aziendale.

E se consideriamo che la violazione delle credenziali di accesso ai sistemi cloud sono considerati ormai uno dei vettori più utilizzati dai cyber criminali specializzati in attacchi mirati orientati all’estorsione tramite ransomware, la tecnica di DOM-based Extension Clickjacking descritta rischia di diventare uno strumento estremamente pericoloso.

La speranza, quindi, è che la segnalazione porti a una verifica “a tappeto” su tutti gli strumenti di questo genere. L’inerzia, in questo caso, potrebbe costare davvero molto cara.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

S
Marco Schiaffino
Giornalista

Leggi anche:

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Come attivare l'autenticazione a 2 fattori e come l'2FA protegge gli account

  • la guida

    Brute force: cosa sono e come come proteggere le password

    13 Apr 2025

    di Redazione Cybersecurity360.it

    Condividi
  • Password Manager: uno strumento essenziale per la sicurezza online. Memorizza in modo sicuro tutte le tue password, rendendo facile l’accesso ai tuoi account online

  • LA GUIDA COMPLETA

    I 10 migliori password manager: cosa sono, come usarli e perché sono utili anche alle aziende

    03 Apr 2025

    di Giorgio Sbaraglia

    Condividi
  • truffa dei pacchi con sms è smishing

  • Phishing

    Falsi pacchi in arrivo, la truffa via e-mail e via SMS

    15 Apr 2025

    di Dario Fadda

    Condividi
  • OIV: profili evolutivi e aspetti privacy di un partner strategico per la PA

  • disegno di legge

    OIV: profili evolutivi e aspetti privacy di un partner strategico per la PA

    02 Mag 2025

    di Pasquale Mancino

    Condividi