I Gestori di Password più Diffusi Vulnerabili al Clickjacking

Una recente e allarmante ricerca nel campo della cybersecurity ha rivelato che molti dei gestori di password più popolari sul mercato, tra cui LastPass, 1Password, Bitwarden, Enpass, iCloud Passwords e LogMeOnce, sono vulnerabili a una tecnica di attacco nota come clickjacking. Questa vulnerabilità, scoperta dal ricercatore di sicurezza Marek Tóth, espone gli utenti al rischio di furto di credenziali, codici di autenticazione a due fattori e dati delle carte di credito. L'attacco, particolarmente insidioso, funziona ingannando l'utente attraverso la sovrapposizione di elementi HTML invisibili sull'interfaccia del password manager. L'utente, pensando di interagire con una parte innocua di una pagina web, clicca inavvertitamente su un'area nascosta che attiva la funzione di autocompilazione del password manager. A questo punto, le informazioni sensibili vengono esposte e inviate all'attaccante.

I risultati di Tóth, che sono stati confermati anche dagli esperti di sicurezza di Socket, hanno dimostrato che la vulnerabilità era presente in tutte le versioni per browser dei gestori di password testate. La gravità del problema risiede nel fatto che gli attaccanti non hanno bisogno di ingegneria sociale complessa o di malware sofisticati per compromettere gli account; è sufficiente che la vittima interagisca con una pagina web malevola. Tóth ha informato i fornitori delle falle già nell'aprile 2025, ma inizialmente non ha ricevuto una risposta immediata. A seguito della successiva decisione di rendere pubblica la scoperta, alcune delle aziende coinvolte hanno iniziato a implementare delle correzioni per mitigare il rischio.

Questo episodio sottolinea l'importanza di una vigilanza costante, anche quando si utilizzano strumenti di sicurezza comunemente considerati affidabili. Sebbene i gestori di password rimangano uno strumento fondamentale per una buona igiene informatica, è chiaro che non sono immuni da vulnerabilità. Si raccomanda vivamente agli utenti di aggiornare i propri gestori di password all'ultima versione disponibile per assicurarsi di aver ricevuto le patch necessarie. Inoltre, è sempre una buona pratica prestare la massima attenzione quando si naviga online e, se possibile, non fare affidamento sull'autocompilazione per l'inserimento di dati sensibili su siti web sconosciuti o sospetti.