Celah keamanan yang meluas dan memengaruhi platform manajemen kata sandi utama telah membuat sekitar 40 juta pengguna rentan terhadap serangan clickjacking canggih yang dapat mengekspos kredensial login, kode autentikasi dua faktor, dan informasi keuangan. Kerentanan yang ditemukan di enam password manager terkemuka ini menunjukkan bagaimana penyerang dapat memanipulasi ekstensi browser untuk mencuri data sensitif melalui trik antarmuka pengguna yang menipu.
 |
|---|
| Sebuah ilustrasi yang melambangkan kerentanan dalam ekstensi manajemen kata sandi seperti LastPass, 1Password, dan Bitwarden, menekankan ancaman serangan clickjacking |
Penemuan dan Skala Masalah
Peneliti keamanan Marek Tóth mengungkap kerentanan kritis ini di DEF CON 33 pada Agustus 2025, mengungkapkan bahwa ekstensi browser untuk 1Password , Bitwarden , Enpass , iCloud Passwords , LastPass , dan LogMeOnce semuanya mengandung celah yang dapat dieksploitasi. Penelitian yang menguji 11 password manager populer secara total ini menemukan bahwa setiap produk menunjukkan kerentanan terhadap setidaknya satu teknik serangan. Tóth telah secara bertanggung jawab mengungkapkan temuan ini kepada semua perusahaan yang terdampak pada April 2025, memberikan mereka beberapa bulan untuk mengembangkan perbaikan sebelum pengumuman publik.
Cara Kerja Serangan Clickjacking
Mekanisme serangan mengandalkan manipulasi canggih teknologi web untuk menciptakan elemen tak terlihat atau transparan yang menutupi antarmuka password manager yang sah. Penyerang membuat situs web berbahaya yang berisi elemen palsu seperti banner persetujuan cookie, formulir CAPTCHA , atau layar login yang tampak tidak berbahaya bagi pengguna. Ketika korban berinteraksi dengan elemen yang tampaknya tidak berbahaya ini, klik mereka secara diam-diam dialihkan ke formulir password manager tersembunyi, memicu pengisian data otomatis yang mengirim informasi sensitif langsung ke server yang dikontrol penyerang.
Metode Eksploitasi Teknis
Tóth mendemonstrasikan beberapa varian serangan selama presentasinya, termasuk manipulasi langsung elemen document object model, perubahan opasitas elemen root, dan teknik overlay antarmuka parsial atau penuh. Satu metode yang sangat mengkhawatirkan melibatkan membuat antarmuka berbahaya mengikuti kursor mouse pengguna, memastikan bahwa setiap klik di mana pun pada halaman memicu pengisian data otomatis yang tidak diinginkan. Peneliti juga mengembangkan skrip serangan universal yang mampu mengidentifikasi password manager mana yang aktif di browser korban dan secara dinamis menyesuaikan pendekatan serangan secara real-time.
Metode Serangan yang Didemonstrasikan
- Manipulasi Opacity Elemen DOM Langsung: Membuat elemen password manager menjadi transparan
- Manipulasi Opacity Elemen Root: Mempengaruhi visibilitas seluruh antarmuka
- Manipulasi Opacity Elemen Parent: Menargetkan elemen kontainer
- Overlaying Sebagian/Penuh: Menutupi elemen yang sah dengan elemen palsu
- Pengikutan Kursor Mouse: Elemen UI yang melacak pergerakan kursor untuk klik universal
- Script Serangan Universal: Secara otomatis mendeteksi password manager yang aktif dan menyesuaikan serangan
Respons Vendor dan Status Saat Ini
Respons dari perusahaan password manager beragam, mencerminkan pendekatan berbeda dalam mengatasi masalah keamanan ini. Bitwarden mengakui kerentanan dengan cepat dan merilis perbaikan dalam versi 2025.8.0, yang saat ini sedang didistribusikan di toko ekstensi browser. Namun, baik 1Password maupun LastPass awalnya mengklasifikasikan celah yang dilaporkan sebagai informatif, menunjukkan bahwa mereka tidak menganggapnya sebagai masalah prioritas yang memerlukan remediasi segera. LastPass kemudian mengindikasikan bahwa mereka sedang bekerja untuk mengatasi masalah sambil menekankan perlindungan yang ada seperti prompt pop-up sebelum mengisi data sensitif secara otomatis.
Password Manager yang Terdampak dan Versinya
| Password Manager | Versi yang Terdampak | Status |
|---|---|---|
| 1Password | 8.11.4.27 | Diklasifikasikan sebagai "informatif" |
| Bitwarden | 2025.7.0 | Diperbaiki pada versi 2025.8.0 |
| Enpass | 6.11.6 | Mitigasi parsial telah diimplementasikan sebelumnya |
| iCloud Passwords | 3.1.25 | Status tidak jelas |
| LastPass | 4.146.3 | Sedang mengerjakan perbaikan |
| LogMeOnce | 7.12.4 | Tidak ada respons |
Dampak Industri dan Versi yang Terdampak
Kerentanan memengaruhi versi spesifik dari setiap password manager, termasuk 1Password versi 8.11.4.27, Bitwarden versi 2025.7.0, Enpass versi 6.11.6, iCloud Passwords versi 3.1.25, LastPass versi 4.146.3, dan LogMeOnce versi 7.12.4. Yang patut dicatat, beberapa pemain industri lainnya termasuk Dashlane , NordPass , Proton Pass , RoboForm , dan Keeper merespons dengan cepat dengan patch atau pembaruan sebelum pengungkapan publik, menunjukkan bahwa remediasi cepat dimungkinkan ketika vendor memprioritaskan masalah keamanan ini.
Langkah Perlindungan yang Direkomendasikan
Sampai perbaikan komprehensif diimplementasikan di semua platform, para ahli keamanan merekomendasikan beberapa langkah perlindungan untuk pengguna password manager. Langkah segera yang paling efektif melibatkan menonaktifkan fungsi autofill dalam ekstensi password manager dan beralih ke alur kerja copy-paste manual untuk menangani kredensial. Pengguna browser berbasis Chromium harus mengonfigurasi pengaturan akses situs ke mode on click, memungkinkan kontrol manual atas fungsi autofill. Selain itu, mempertahankan kewaspadaan tinggi saat menghadapi overlay web yang mencurigakan, pop-up, atau elemen antarmuka yang tidak terduga dapat membantu mencegah serangan yang berhasil.
Langkah Perlindungan Segera
- Nonaktifkan Autofill: Matikan fungsi pengisian otomatis pada ekstensi pengelola kata sandi
- Gunakan Copy-Paste: Salin dan tempel kredensial secara manual alih-alih menggunakan autofill
- Konfigurasi Pengaturan Browser: Atur browser berbasis Chromium ke "on click" untuk akses ekstensi
- Perbarui Perangkat Lunak: Pastikan versi terbaru pengelola kata sandi telah terinstal
- Berhati-hatilah: Waspada terhadap pop-up, overlay, dan elemen antarmuka yang mencurigakan
Implikasi Keamanan Jangka Panjang
Penemuan ini menyoroti kekhawatiran yang lebih luas tentang arsitektur keamanan ekstensi browser dan tantangan melindungi data sensitif dalam lingkungan web yang semakin kompleks. Meskipun beberapa vendor berargumen bahwa clickjacking merupakan risiko keamanan web umum yang secara tradisional dimitigasi oleh model keamanan browser daripada perangkat lunak password manager saja, demonstrasi sukses serangan ini menunjukkan bahwa langkah perlindungan tambahan diperlukan. Insiden ini menggarisbawahi pentingnya audit keamanan reguler untuk alat manajemen kata sandi dan kebutuhan akan standar industri yang mengatasi kerentanan khusus ekstensi.