IT-Forscher warnt vor Clickjacking
Passwort-Manager: Schwere Lücken in Browser-Erweiterungen
Ein Forscher deckt Schwachstellen in Browser-Erweiterungen von Passwort-Managern auf. Clickjacking könnte Angreifern Zugang zu sensiblen Daten ermöglichen. Erste Updates sind verfügbar.
Passwort-Manager sollen den sicheren Umgang mit Zugangsdaten erleichtern. Viele dieser Programme bieten Browser-Erweiterungen, die Login-Felder automatisch ausfüllen. Doch laut einem auf der Defcon 33 vorgestellten Bericht des Sicherheitsforschers Marek Toth kann genau diese Funktion eine Schwachst...
Passwort-Manager sollen den sicheren Umgang mit Zugangsdaten erleichtern. Viele dieser Programme bieten Browser-Erweiterungen, die Login-Felder automatisch ausfüllen. Doch laut einem auf der Defcon 33 vorgestellten Bericht des Sicherheitsforschers Marek Toth kann genau diese Funktion eine Schwachstelle darstellen.
Der vorgestellte Angriff basiert auf einer bekannten Methode namens Clickjacking. Dabei klicken Nutzer auf scheinbar harmlose Elemente, während im Hintergrund unsichtbare Steuerelemente aktiviert werden. Toth zeigte, dass dies auch bei den Benutzeroberflächen der Passwort-Manager-Erweiterungen funktioniert, indem deren grafische Darstellung über das Document Object Model (DOM) manipuliert wird.
So funktioniert der DOM-basierte Angriff
Angreifer könnten laut Toth Webseiten erstellen, die unsichtbare Formularfelder mit sehr geringer Deckkraft enthalten. Diese Felder würden durch das Passwort-Manager-Plugin als ausfüllbar erkannt, sobald sie in den Fokus geraten. Über zusätzliche DOM-Manipulationen könne auch das Interface der Passwort-Erweiterung unsichtbar gemacht werden. Ein Nutzer, der etwa ein Cookie-Banner bestätigt, könnte so unbeabsichtigt eine Passwort-Autovervollständigung auslösen.
Die betroffenen Daten beschränkten sich in vielen Fällen nicht nur auf Zugangsdaten. Auch persönliche Informationen wie Name, Telefonnummer oder Kreditkartendaten könnten auf diesem Weg abgegriffen werden – sofern sie nicht domaingebunden gespeichert sind.
Viele Passwort-Manager betroffen
Getestet wurden unter anderem die Erweiterungen von 1Password, Bitwarden, Dashlane, Enpass, iCloud Passwords, Keeper, LastPass, LogMeOnce, NordPass, ProtonPass und RoboForm. Der Angriff setzt voraus, dass die Erweiterung das manuelle Ausfüllen erlaubt.
Insbesondere wenn die Programme so konfiguriert sind, dass sie auch auf Subdomains reagieren - was laut Toth bei vielen Produkten die Standardeinstellung ist - könnten zusätzliche Risiken entstehen. So reiche etwa eine Schwachstelle auf einer Unterseite wie „test.dev.sandbox.cloud.google.com“ aus, um an Zugangsdaten für „accounts.google.com“ zu gelangen.
Updates und Schutzmaßnahmen
Bis zum Veröffentlichungszeitpunkt hatten bereits Dashlane, Keeper, Nordpass, ProtonPass, RoboForm, Bitwarden und Enpass Updates bereitgestellt. Die neue Bitwarden-Version 2025.8.0 ist über die Hilfefunktion manuell installierbar, während die Aktualisierung in den Browser-Stores wegen laufender Prüfungen etwas später zur Verfügung stehen.
Toth empfiehlt Nutzerinnen und Nutzern unter anderem, automatische Updates zu aktivieren und die neueste Version der Erweiterung zu verwenden. Auch das Deaktivieren der Autovervollständigung sowie die Option „exakte URL-Übereinstimmung“ können vor Angriffen schützen. In Chromium-basierten Browsern lässt sich zudem der Erweiterungszugriff auf „bei Klick“ beschränken.
Frühere Sicherheitswarnungen
Sicherheitslücken in Passwort-Managern sind keine Seltenheit. Bereits im Oktober des Vorjahres hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) bei einer Analyse von Vaultwarden und Keepass auf ähnliche Probleme hingewiesen.
