VU#516608: 複数のパスワードマネージャーがクリックジャッキング攻撃に対して脆弱
ブラウザ拡張機能のパスワードマネージャーは、ウェブページと拡張機能要素間の信頼関係を悪用するクリックジャッキング攻撃に対して脆弱です。新しいDOMベースのクリックジャッキング手法は、注入されたユーザーインターフェース要素を操作することで、従来の防御策を回避できます。攻撃者はこれらの要素を不可視にすることで、ユーザーをパスワードマネージャーの機能と対話するように騙すことができます。これにより、意図しない資格情報の自動入力が可能になり、アカウントの侵害につながります。パスワードマネージャーが編集可能な要素を注入する際に、ユーザビリティとセキュリティの間の緊張関係が浮き彫りになります。緩和策には、ウェブ開発者、パスワードマネージャーベンダー、およびユーザーの協力的な取り組みが必要です。ユーザーは、これらの進化する脅威に対処するために、ベンダーのアップデートを速やかにインストールする必要があります。自動入力機能を無効にするか制限することで、クリックジャッキングへの曝露を減らすことができます。信頼されているウェブサイトでさえ侵害される可能性があることを理解することが重要であり、警戒が不可欠です。