V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Ryanzlab
V2EX  ›  问与答

天呐,多款密码管理器曝严重漏洞, 2FA 才是出路吗?

  •  
  •   Ryanzlab · 10 天前 · 2952 次点击
    6 款主流密码管理器曝严重漏洞,影响 4000 万用户

    安全研究员在 DEF CON 33 黑客大会上披露,LastPass 、1Password 、Bitwarden 、Enpass 、iCloud Passwords 和 LogMeOnce 等六款主流密码管理器浏览器扩展存在未修复的点击劫持漏洞,影响约 4000 万用户。

    攻击者可通过在网页覆盖透明或伪造界面元素,诱导用户误点击后触发密码管理器自动填充功能,导致账号密码、认证码甚至银行卡信息泄露。目前 Bitwarden 已在 2025.8.0 版本修复相关问题,Enpass 推出部分缓解措施,而 1Password 和 LastPass 仅将漏洞列为"信息性"问题,尚未紧急修复。
    22 条回复    2025-08-23 14:44:45 +08:00
    Greenm
        1
    Greenm  
       10 天前   ❤️ 22
    你都能覆盖透明或伪造界面元素了,那你也能直接伪造一个登陆框让用户输入账号密码,这不是一样的么。

    你们媒体人啊,不要见风就说是雨,如果将来你们报导上有偏差,你们要负责。
    TsubasaHanekaw
        2
    TsubasaHanekaw  
       10 天前
    你是说,有一个网页, 通过了插件的域名匹配, 然后有用户名密码输入页面 然后我就要输账号密码了?
    xiangyuecn
        3
    xiangyuecn  
       10 天前
    严重漏洞???实际上可以说是毫不相干
    jydeng
        4
    jydeng  
       10 天前
    标题党,可以拉黑了
    v2tudnew
        5
    v2tudnew  
       10 天前   ❤️ 1
    我还以为是存储、加密、通信方面的漏洞,原来是诈骗啊😆。
    kera0a
        6
    kera0a  
       10 天前 via iPhone
    都这样了,是不是自己直接查数据库更方便点?
    pchychina
        7
    pchychina  
       10 天前
    strongbox 没在里边吧?
    irainsoft
        8
    irainsoft  
       10 天前   ❤️ 1
    看完我只想知道 Bitwarden 修了什么?
    sudo123
        9
    sudo123  
       10 天前
    我用 keepass
    MajestySolor
        10
    MajestySolor  
       10 天前
    我比较好奇 bitwarden 具体“修复”了什么东西🤣
    danbai
        11
    danbai  
    PRO
       10 天前
    可能是修复了确保输入框可见才填充吧
    Mystery0
        12
    Mystery0  
       10 天前 via Android
    @irainsoft 修复了这个被归类为漏洞的漏洞(把媒体人号 ban 了),也许啥都没改就发了个版😂
    wegbjwjm
        13
    wegbjwjm  
       10 天前 via iPhone
    我用的 XyKey 只有本地
    hefish
        14
    hefish  
       10 天前   ❤️ 5
    看这位 op 发贴标题,基本都是骗回帖的。我手动 block 他了。
    aileaile
        15
    aileaile  
       10 天前
    KeePass 稳如狗,墙裂推荐!
    card123
        16
    card123  
       10 天前
    也不知道到底想说什么
    docx
        17
    docx  
       10 天前 via iPhone
    社会学漏洞能让密码器背锅吗
    Foxkeh
        18
    Foxkeh  
       10 天前
    OP 发的这些灌水帖子有啥意义呢
    zhouweiluan
        19
    zhouweiluan  
       10 天前
    说白了这不就是纯钓鱼么,跟伪造一个钓鱼网站让你输入账号密码本质上一样。
    snw
        20
    snw  
       10 天前 via Android
    看原文吧,如果看不明白文字的先看看视频演示

    https://marektoth.com/blog/dom-based-extension-clickjacking/
    snw
        21
    snw  
       10 天前 via Android   ❤️ 1
    稍微总结一下:

    1. 在单独利用的情况下,这个漏洞只能盗取不限域名填充的信息,比如个人姓名、邮箱、电话、证件号、信用卡号、信用卡有效期、信用卡 CVV 等。不能盗取必须匹配域名的信息,例如其他站点的登录名和密码等。

    2. 在配合 XSS 漏洞的情况下,这个漏洞能利用任意一个子域名的 XSS 漏洞,盗取相同主域名的其他重要域名的重要信息,例如用户名、密码,如果密码管理器支持自动填充 TOTP 的话甚至连 2FA 都没用。
    原文的 PoC 利用了 issuetracker.google.com 域名的一个 XSS 漏洞,获取了 accounts.google.com 域名的登录信息+TOTP 。

    3. 整个过程中,用户压根不会看到任何“请输入用户名/密码”的提示,也压根不会看到密码管理器提示“请确认是否填入登录信息”,就把密码管理器里面的信息交出去了。

    我的评价:单独使用价值不大,但对其他漏洞有很好的辅助加成,能导致受害范围扩大到有良好安全习惯的用户,比如这里的 1 楼和所有给 1 楼点赞的人🐶
    snw
        22
    snw  
       10 天前 via Android
    @Greenm
    @TsubasaHanekaw
    @docx
    @zhouweiluan
    这个漏洞不需要用户输入信息,也不需要用户同意密码管理器填充信息,用户看到的只有“同意/拒绝 cookies”、“我不是机器人验证”、“关闭广告”等需要用户点击的按钮。
    这个确实是正经的密码管理器浏览器扩展漏洞。单独利用危害较小,但对 XSS 漏洞的辅助加成很棒。
    关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5278 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 34ms · UTC 07:24 · PVG 15:24 · LAX 00:24 · JFK 03:24
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.