/https://www.ilsoftware.it/app/uploads/2025/04/foto-michele-nasi.jpg){kind=small}
/https://www.ilsoftware.it/app/uploads/2025/08/vulnerabilita-clickjacking-password-manager.jpg "Password Manager a rischio: scoperta falla che espone 40 milioni di utenti (1Password, Bitwarden, LastPass e altri)")
I password manager sono strumenti fondamentali per la gestione delle identità digitali, utilizzati da decine di milioni di utenti in tutto il mondo per custodire password, codici 2FA, note sicure e dati finanziari. Tuttavia, una nuova classe di attacchi presentata al DEF CON 33 ha rivelato falle critiche di sicurezza legate al clickjacking, ancora prive di patch e rilevate in applicazioni diffuse ed apprezzate come 1Password, Bitwarden, LastPass, iCloud Passwords, Enpass e LogMeOnce.
Le vulnerabilità, dimostrate dal ricercatore indipendente Marek Tóth e successivamente verificate dalla società di sicurezza Socket, mettono in evidenza un punto debole strutturale dei gestori di password che si integrano con i browser Web: la loro dipendenza dall’interazione grafica, facilmente manipolabile tramite tecniche di overlay e manipolazione del DOM (Document Object Model) della pagina.
Il meccanismo dell’attacco: quando un clic innocuo porta alla sottrazione di dati
Tóth spiega che l’aggressione sfrutta il principio del clickjacking per ingannare l’utente mentre interagisce con interfacce apparentemente legittime: banner sui cookie, CAPTCHA o popup di consenso. In realtà, questi ultimi possono provocare la sovrapposizione di elementi trasparenti riferibili al password manager.
Così, mentre l’utente crede di cliccare su un innocuo pulsante, in realtà sta attivando il riempimento automatico delle credenziali, inserite e potenzialmente intercettate da script malevoli.
Il clickjacking è un attacco informatico in cui un utente è persuaso a cliccare su elementi invisibili o mascherati su una pagina Web. Egli pensa di interagire con qualcosa di innocuo (come un pulsante o un banner); in realtà, il clic attiva azioni nascoste, come l’approvazione di transazioni, la condivisione di dati personali, la modifica di impostazioni. Il tutto a vantaggio dell’attaccante.
Il funzionamento del clickjacking sui password manager
Il nocciolo dell’attacco consiste nell’iniettare o manipolare elementi che le estensioni del browser (come quelle dei password manager) inseriscono nel DOM delle pagine Web.
Attraverso l’uso di codice JavaScript, l’attaccante imposta su questi elementi stili come opacity: 0 o li sovrappone con altri elementi visibili, rendendoli invisibili ma ancora interattivi.
Sono contemporaneamente creati tutti gli elementi che l’utente si aspetta di vedere: banner per approvare o negare i cookie, CAPTCHA, moduli di login, popup di newsletter, ecc. Questi elementi sono progettati come esche per nascondere i reali campi dove l’autofill, ovvero l’inserimento automatico delle credenziali personali, sarà applicato.
Nella sua dettagliata analisi tecnica, Tóth dimostra che è possibile creare – sempre tramite JavaScript – un form (per login o attività di pagamento), rendendolo quasi invisibile (es. opacity: 0.001). Il codice invoca poi il metodo .focus() su un campo input del form invisibile, facendo comparire il menu di completamento automatico del password manager.
L’utente, ritenendo di accettare un cookie o chiudere un popup, clicca sull’elemento visibile. Quel clic, però, ha invece effetto sul form invisibile nascosto e attiva l’autofill: le credenziali, i codici 2FA o i dati delle carte sono così inseriti automaticamente e possono essere catturati dallo script malevolo.
Tóth ha dimostrato che un singolo script può individuare quale password manager è presente nel browser e mettere in atto un attacco efficace, rendendo l’aggressione estremamente versatile e scalabile.
Cosa possono rubare i criminali informatici?
Facendo leva sulla tecnica di clickjacking individuata dal ricercatore di sicurezza, un singolo clic da parte dell’utente può portare alla sottrazione di credenziali di accesso (username/password), anche su sottodomini. Molte estensioni dei password manager più noti, infatti, attivano il completamento automatico delle credenziali su tutti i sottodomini (domain wildcard), ampliando la superficie d’attacco.
In molti casi, i codici di autenticazione a due fattori (TOTP) sono automaticamente inseriti dalle estensioni dei password manager nei campi giusti, con un solo clic.
Il completamento automatico (e la successiva sottrazione) può interessare anche dati riservati come numeri di carte di credito, CVC, indirizzi, email, telefono e così via.
In certe situazioni (8 su 11 password manager testati), è possibile rubare passkey e utilizzarle per autenticarsi al posto della vittima: il sistema permette di generare una nuova sessione o aggiungere un dispositivo, aprendo persino l’accesso persistente. In un altro articolo spieghiamo perché potreste essere delusi dalle passkey.
Password manager vulnerabili e stato delle patch
Il ricercatore ha testato 11 password manager tra i più utilizzati, riscontrando vulnerabilità in tutti. Al momento, risultano ancora esposti – con circa 40 milioni di utenti complessivi – i seguenti prodotti:
- 1Password 8.11.4.27
- Bitwarden 2025.7.0 (patch in rollout con la versione 2025.8.0)
- Enpass 6.11.6 (fix parziale già introdotto nella 6.11.4.2)
- iCloud Passwords 3.1.25
- LastPass 4.146.3
- LogMeOnce 7.12.4
Alcuni sviluppatori hanno già implementato contromisure efficaci, tra cui Dashlane, NordPass, ProtonPass, RoboForm e Keeper, che hanno rilasciato versioni aggiornate nei mesi di luglio e agosto 2025.
Reazioni contrastanti dei vendor
Le risposte delle aziende impegnate nello sviluppo dei vari password manager hanno, sempre a detta di Tóth, evidenziato un panorama piuttosto frammentato:
- 1Password ha definito il bug “out-of-scope”, sostenendo che il clickjacking è un problema strutturale del Web e non specifico delle estensioni. Ha però annunciato nuove funzioni di conferma manuale prima dell’attivazione del meccanismo di riempimento.
- LastPass ha riconosciuto il problema, annunciando salvaguardie aggiuntive come notifiche popup prima dell’autofill di dati riservati.
- Bitwarden ha ammesso la vulnerabilità ma ne ha ridimensionato la gravità, comunicando però la distribuzione di una patch.
- LogMeOnce non ha risposto alle prime segnalazioni, mentre successivamente ha dichiarato di lavorare a un fix.
- Enpass ha rilasciato un aggiornamento parziale, ma le versioni correnti restano esposte.
Queste differenze evidenziano come il settore non abbia ancora una linea comune nell’affrontare rischi che toccano la fiducia alla base stessa del modello di business dei password manager.
Le migliori azioni per difendersi dagli attacchi clickjacking ai password manager
In attesa che i vendor rilascino aggiornamenti correttivi di carattere strutturale, le contromisure immediate raccomandate includono le seguenti:
- Disattivazione della funzione autofill del password manager e utilizzo del copia/incolla manuale delle credenziali.
- Aggiornamento tempestivo dei password manager, in modo da applicare le patch non appena disponibili.
- Attenzione a banner sospetti, popup o CAPTCHA anomali, specialmente su siti poco affidabili.
- Segmentazione dei dati critici: evitare di memorizzare nello stesso password manager password, carte di credito e codici 2FA.
/https://www.ilsoftware.it/app/uploads/2025/07/microsoft-authenticator-password-cancellate.jpg "Microsoft Authenticator: attenzione alle password cancellate ad agosto!")
/https://www.ilsoftware.it/app/uploads/2024/05/violare-password-attacchi-2024.jpg "Dropbox Passwords chiude: cosa cambia per la gestione delle password")
/https://www.ilsoftware.it/app/uploads/2025/07/nordpass-600x240.webp "Stanco di ricordare mille password? Prova NordPass, in sconto del 50%")
/https://www.ilsoftware.it/app/uploads/2025/06/microsoft-authenticator-riempimento-password-non-funziona.jpg "Microsoft Authenticator: addio a questa importante funzione da luglio")