[English]Viele Nutzer verwalten ihre Kennwörter in Passwort-Managern. Sicherheitsforscher haben sich 11 beliebte Erweiterungen (1Password, LastPass, iCloud und weitere) genauer angesehen. Dabei wurden diese als anfällig identifiziert – wodurch Anmeldedaten, 2FA-Codes und Kreditkartendaten gefährdet sind.

Die Meldung wurde bereits vorige Woche öffentlich, denn der Sachverhalt war auf der Defcon präsentiert worden – ich stelle das Thema aber mal als Nachtrag im Blog ein. Ich bin über nachfolgenden Tweet von The Hacker News auf das Thema aufmerksam geworden.

Passwort-Manager stellen meist auch eine Browser-Erweiterung bereit, um ein Passwort aus dem Passwort-Speicher im Browser in die entsprechenden Eingabefelder eines Online-Kontos zu übermitteln.

Marek Tóth hatte sich die Frage gestellt, ob sogenanntes Clickjacking 2025 noch eine ausnutzbare Schwachstelle sei? Clickjacking ist eine Technik, bei der ein Angreifer die Darstellung einer legitimen Internetseite mit einer Kopie überlagert und dann der Nutzer dazu veranlasst, scheinbar harmlose Mausklicks und/oder Tastatureingaben durchzuführen. Diese Aktionen werden dann vom Angreifer aufgezeichnet.

Wenn ein Passwort-Manager die Zugangsdaten in eine Clickjacking-Seite eintragen würde, könnten diese von Angreifern leicht abgezogen werden, so der Schluss.  Marek Toth hat sich 11 Passwort-Manager, die mit einer Browser-Erweiterung daherkommen, vorgenommen und genauer untersucht.

Dabei ist er auf eine neue Clickjacking-Technik gestoßen, bei der ein bösartiges Skript UI-Elemente manipuliert, die Browser-Erweiterungen in das DOM einfügen. Die UI-Elemente werden mithilfe von JavaScript unsichtbar gemacht, der Nutzer kann also eine manipulierte Webseite nicht erkennen.

In der Untersuchung der 11 ausgewählten Passwort-Manager, die als Browser-Erweiterungen verwendet werden, stellte sich heraus, dass alle für “DOM-basiertes Extension Clickjacking” anfällig waren. Millionen von Nutzern könnten gefährdet sein (Tóth schätzt es auf ~40 Millionen aktive Installationen). Hier seine Feststellungen:

• Ein einziger Klick an einer beliebigen Stelle auf der Website des Angreifers könnte Kreditkartendaten einschließlich Sicherheitscodes (6 von 9 getesteten Produkten waren anfällig) oder gespeicherte persönliche Daten (8 von 10 getesteten Produkten waren anfällig) preisgeben.
• Alle Passwort-Manager füllten Anmeldedaten nicht nur für die Hauptdomain der besuchten Webseite, sondern auch für alle Subdomains aus. Ein Angreifer konnte leicht XSS- oder andere Schwachstellen finden und mit einem einzigen Klick die gespeicherten Anmeldedaten des Benutzers stehlen (10 von 11), einschließlich TOTP (9 von 11). In einigen Szenarien konnte auch die Passkey-Authentifizierung ausgenutzt werden (8 von 11).
• Alle Schwachstellen wurden im April 2025, mit dem Hinweis, dass die öffentliche Bekanntgabe im August 2025 erfolgen wird, an die Entwickler gemeldet.
• Einige Anbieter haben die beschriebene Schwachstelle noch nicht behoben: Bitwarden, 1Password, iCloud Passwords, Enpass, LastPass, LogMeOnce. Benutzer dieser Passwort-Manager sind möglicherweise weiterhin gefährdet (~32,7 Millionen aktive Installationen).

Für Benutzer von Chromium-basierten Browsern wird vom Sicherheitsforscher empfohlen, den Zugriff auf Websites in den Erweiterungseinstellungen auf on-click zu konfigurieren. Diese Konfiguration ermöglicht es Benutzern, die Autovervollständigungsfunktion manuell zu steuern. Weitere Details sind im Beitrag DOM-based Extension Clickjacking: Your Password Manager Data at Risk von Marek Tóth zu finden. Zum 22. August 2025 hat er in einem Nachtrag geschrieben, dass folgende Produkte immer noch problematisch seien:

• Bitwarden: 2025.8.1 (in progress), <=2025.8.0 (vulnerable)
• Enpass: 6.11.6 (fixed) – released: 13.8.2025, <=6.11.5 (vulnerable)
• KeePassXC-Browser <=1.9.9.2 (latest) is vulnerable

The Hacker News hat die Details in diesem Beitrag veröffentlicht. Ein deutschsprachiger Beitrag findet sich bei heise.