Image by Volodymyr Kondriianenko, from Unsplash
Salasanojen Hallintaohjelmat Vuotavat Tietoa Uudessa Clickjacking-Hyökkäyksessä
Lukuaika: 2 min
Viimeksi päivitetty: Aug 21, 2025
-
![Kiara Fabbri]()
-
![Lokalisointi- ja käännöstiimi]()
Kääntänyt Lokalisointi- ja käännöstiimi Lokalisointi- ja käännöspalvelut
Uusi tutkimus varoittaa, että miljoonat salasanojenhallintaohjelmien käyttäjät saattavat olla haavoittuvaisia vaaralliselle selainhyökkäykselle, jota kutsutaan nimellä ”DOM-pohjainen laajennusnapsautuskaappaus.”
Kiire? Tässä ovat nopeat faktat:
- Hyökkääjät voivat huijata käyttäjiä täyttämään tiedot automaattisesti yhdellä valeklikkauksella.
- Ilmi tulleisiin tietoihin kuuluu luottokortteja, sisäänkirjautumistietoja ja jopa kaksivaiheisen tunnistautumisen koodeja.
- 32,7 miljoonaa käyttäjää on edelleen alttiina, koska jotkut toimittajat eivät ole korjanneet puutteita.
Tutkimustulosten takana oleva tutkija selitti: ”Clickjacking on edelleen turvallisuusuhka, mutta on välttämätöntä siirtyä verkkosovelluksista selainlaajennuksiin, jotka ovat nykyään suositumpia (salasanojen hallintasovellukset, kryptovaluuttalompakot ja muut).”
Hyökkäys toimii houkuttelemalla käyttäjiä klikkaamaan väärennettyjä elementtejä, kuten evästebannereita ja captcha-pop-up -ikkunoita, samalla kun näkymätön koodi salaa aktivoi salasananhallintaohjelman automaattitäyttötoiminnon. Tutkijat selittävät, että hyökkääjät tarvitsivat vain yhden klikkauksen varastaakseen arkaluonteisia tietoja.
“Yksi klikkaus missä tahansa hyökkääjän hallitsemalla verkkosivulla voi antaa hyökkääjille mahdollisuuden varastaa käyttäjien tiedot (luottokorttitiedot, henkilökohtaiset tiedot, kirjautumistiedot mukaan lukien TOTP),” raportissa todetaan.
Tutkija testasi 11 suosittua salasananhallintasovellusta, mukaan lukien 1Password, Bitwarden, Dashlane, Keeper, LastPass ja iCloud Passwords. Tulokset olivat huolestuttavia: ”Kaikki olivat haavoittuvia ’DOM-pohjaiselle laajennuksen klikkauksen kaappaamiselle’. Kymmenet miljoonat käyttäjät saattavat olla vaarassa (~40 miljoonaa aktiivista asennusta).”
Testit paljastivat, että kuusi yhdeksästä salasananhallintasovelluksesta paljasti luottokorttitiedot, kun taas kahdeksan kymmenestä vuoti henkilökohtaisia tietoja. Lisäksi kymmenen yhdestätoista antoi hyökkääjien varastaa tallennetut kirjautumistiedot. Joissakin tapauksissa jopa kaksivaiheisen tunnistautumisen koodit ja salasanat saattoivat olla vaarantuneita.
Vaikka toimittajat hälytettiin huhtikuussa 2025, tutkijat huomauttavat, että jotkut heistä, kuten Bitwarden, 1Password, iCloud Passwords, Enpass, LastPass ja LogMeOnce, eivät ole vielä korjanneet puutteita. Tämä on erityisen huolestuttavaa, koska sen arvioidaan jättävän noin 32,7 miljoonaa käyttäjää tämän hyökkäyksen kohteeksi.
Tutkijat päättelivät: ”Kuvattu tekniikka on yleinen ja testasin sitä vain 11 salasanojen hallintaohjelmalla. Muut DOM-manipuloivat laajennukset ovat todennäköisesti haavoittuvia (salasanojen hallintaohjelmat, kryptovaluutta-lompakot, muistiinpanot jne.).”
Edellinen artikkeli
Uusimmat artikkelit 
