כמה ממנהלי הסיסמאות הטובים ביותר נמצאו פגיעים לפגם המאפשר להאקרים לשלוף התקפות קליקים. החוקרת מארק טאת 'הדגימה לאחרונה כיצד הבאג מאפשר לתוקפים לשים שכבה על רכיבי HTML בלתי נראים על פני ממשק, כך שמשתמשים יחשבו שהם לוחצים על קופץ סטנדרטי, אך במקום זאת הם למעשה מדליקים ללא ידיעה מידע רגיש כמו אישורי חשבון, קודי 2FA או פרטי כרטיס אשראי.
מחשב צמחים דיווח על ממצאי טאת ', אותם הציג החוקר במהלך ועידת DEF CON 33 של אוגוסט. שחקן איום יכול לנצל פגם זה כאשר קורבן מבקר באתר זדוני הפגיע לתסריטים או הרעלת מטמון של אתרים, וכאן מתרחשת שכבת העל הבלתי נראית. ההאקר צריך רק ליצור אתר מזויף ולהבטיח שהוא מכיל מוקפץ פולשני כמו מסך כניסה או באנר להסכמה. מוקפץ זה מכיל את שכבת העל עם טופס כניסה בלתי נראה, שמשמעותו ברגע שהקורבן לוחץ באתר כדי לסגור את הקופץ, מנהל הסיסמאות שלהם ימלא באופן אוטומטי את המידע הרגיש או הרגיש האחרים שלהם לאתר זדוני אשר לאחר מכן מחזיר אותו לשרת מרוחק.
Tóth הראה מספר דרכים שניתן לנצל את הפגם באמצעות גרסאות שונות, כולל DOM ישיר (מודל אובייקט מסמך) מניפולציה של אטימות אלמנט, מניפולציה של אטימות אלמנט שורש, מניפולציה של אטימות אלמנטים של הורים או שכבת -על חלקית או מלאה. הוא גם הדגים שיטה בה ממשק המשתמש עוקב אחר סמן העכבר כך שכל לחיצה, ללא קשר למיקום בדף, תגרום למילוי אוטומטי של נתונים. כדי להחמיר את המצב, טות 'הסביר כי ניתן להשתמש בתסריט התקפה אוניברסלי כדי לזהות איזה מנהל סיסמאות פעיל בדפדפן הקורבן, כך שניתן היה להתאים את ההתקפה בזמן אמת.
ממצאיו של טות 'אומתו על ידי Socket Company Secution Socket, שעזר גם ליידע את הספקים שהושפעו מהפגיעות וכן לתאם את הגילוי הציבורי והגשת CVES. מנהלי הסיסמאות שנבדקו כוללים 1Password, Bitwarden, Enpasp, סיסמאות אפל, LastPass ו- Logmeonce.
לכולם יש גרסאות מבוססות דפדפן של מנהלי הסיסמאות שלהם שידליפו מידע רגיש בתרחישים מסוימים. בסך הכל נבדקו 11 מנהלי סיסמאות וכולם נמצאו פגיעים לשיטת התקפה אחת לפחות. טות הודיע לכל ספקי הנושא באפריל 2025 לפני שחשף בפומבי את ממצאיו ב- DEF CON 33.
רבות מחברות מנהל הסיסמאות השונות ציינו כי הן עובדות על פתרון הבעיה או שהנפיקו תיקונים. המלצות למשתמשים כוללות לוודא שאתה מפעיל גרסאות עדכניות של מנהל הסיסמאות שלך, וטות 'אומר שעד שהתיקונים יהיו זמינים, עליך להשבית את פונקציית המילוי האוטומטי במנהלי הסיסמאות שלך ולהשתמש רק בהעתקה/הדבק. הוא מוסיף: "עבור משתמשי דפדפן מבוססי כרום, מומלץ להגדיר את הגישה לאתר להגדרות סיומת 'בלחיצה'; זה מאפשר למשתמשים לשלוט באופן ידני בפונקציונליות של מילוי אוטומטי."
