Được biết, clickjacking là một hình thức tấn công đánh lừa người dùng nhập chuột vào một tùy chọn chứa mã độc trên website. Kẻ tấn công có thể khai thác các vấn đề bảo mật khi nạn nhân truy cập vào một trang web hoặc trang web độc hại dễ bị tấn công bằng lỗ hổng bảo mật bị chèn mã độc (cross-site scripting -XSS) hoặc đầu độc bộ nhớ đệm, trong đó kẻ tấn công phủ các phần tử HTML vô hình lên giao diện trình quản lý mật khẩu.

Mặc dù người dùng tin rằng họ đang tương tác với các phần tử vô hại và có thể vô tư nhấp vào, nhưng thực tế chúng lại kích hoạt các hành động tự động điền làm rò rỉ thông tin nhạy cảm.

Các lỗ hổng đã được trình bày tại hội nghị hacker DEF CON 33 gần đây bởi nhà nghiên cứu độc lập Marek Tóth. Các nhà nghiên cứu tại công ty an ninh mạng Socket sau đó đã xác minh những phát hiện này và hỗ trợ thông báo cho các nhà cung cấp bị ảnh hưởng cũng như phối hợp công bố thông tin.

Nhà nghiên cứu đã thử nghiệm cuộc tấn công của mình trên một số phiên bản nhất định của trình quản lý mật khẩu như 1Password, Bitwarden, Enpass, iCloud Passwords, LastPass và LogMeOnce, và phát hiện ra rằng tất cả các biến thể dựa trên trình duyệt của chúng đều có thể làm rò rỉ thông tin nhạy cảm trong một số trường hợp nhất định.

Phương pháp khai thác

Cơ chế tấn công chính là chạy một tập lệnh trên một trang web độc hại hoặc bị xâm nhập, sử dụng cài đặt độ mờ, lớp phủ hoặc thủ thuật sự kiện con trỏ để ẩn menu thả xuống tự động điền của trình quản lý mật khẩu trên trình duyệt.

Kẻ tấn công sau đó phủ các thành phần xâm nhập giả mạo (ví dụ: biểu ngữ cookie, cửa sổ bật lên hoặc CAPTCHA) để các nhấp chuột của người dùng rơi vào các điều khiển trình quản lý mật khẩu ẩn, dẫn đến việc điền thông tin nhạy cảm vào biểu mẫu.

Ông Tóth đã chứng minh nhiều kiểu con trỏ dựa trên giao diện lập trình ứng dụng (DOM) tạo thành các biến thể khai thác của cùng một lỗ hổng, bao gồm thao tác độ mờ trực tiếp của phần tử DOM, thao tác độ mờ của phần tử gốc, thao tác độ mờ của phần tử cha (tên tiếng Anh là parent element là phần tử bao quanh một phần tử khác) và phủ một phần hoặc toàn bộ.

Nhà nghiên cứu cũng đã chứng minh khả năng sử dụng một phương pháp mà giao diện người dùng theo con trỏ chuột, do đó bất kỳ nhấp chuột nào của người dùng, bất kể vị trí của nó, đều kích hoạt tự động điền dữ liệu.

Chuyên gia Tóth cho biết, một tập lệnh tấn công phổ quát có thể được sử dụng để xác định trình quản lý mật khẩu đang hoạt động trên trình duyệt của mục tiêu và sau đó điều chỉnh cuộc tấn công theo thời gian thực.

Tác động và phản hồi từ nhà cung cấp

Nhà nghiên cứu đã kiểm tra 11 trình quản lý mật khẩu được chọn dựa trên mức độ phổ biến và phát hiện ra rằng, tất cả đều dễ bị tấn công bởi ít nhất một phương thức.

Nhà nghiên cứu đã thông báo cho tất cả các nhà cung cấp trình duyện mật khẩu về sự cố vào tháng 4 năm 2025. Nhà nghiên cứu cũng cảnh báo rằng việc công bố công khai sẽ được thực hiện vào tháng 8 năm nay tại diễn đàn DEF CON 33.

Công ty an ninh mạng Socket đã thực hiện một vòng liên hệ khác trong tuần này để thông báo rằng họ đang nộp danh sách công khai các lỗ hổng bảo mật đã được xác định và mô tả trong phần mềm và phần cứng (CVE) cho các sản phẩm tương ứng.

1Password đã từ chối báo cáo, đồng thời tự phân loại mình là "ngoài phạm vi/mang tính thông tin" và đưa ra lập luận rằng, clickjacking là một rủi ro web chung mà người dùng nên giảm thiểu.

Tương tự, LastPass đánh dấu báo cáo là "mang tính thông tin", trong khi Bitwarden thừa nhận các sự cố nhưng hạ thấp mức độ nghiêm trọng. Tuy nhiên, Bitwarden chia sẻ với nói trang BleepingComputer rằng, các sự cố đã được khắc phục trong phiên bản 2025.8.0, ra mắt trong tuần này. Hiện chưa rõ LastPass và 1Password có kế hoạch giải quyết vấn đề hay không. Trong khi, LogMeOnce đã không phản hồi bất kỳ nỗ lực liên lạc nào, từ Tóth hay Socket.

Hiện tại, các trình quản lý mật khẩu sau đây, với tổng cộng khoảng 40 triệu người dùng, dễ bị tấn công bởi các phương thức của Tóth.

1Password 8.11.4.27

Bitwarden 2025.7.0

Enpass 6.11.6 (bản sửa lỗi một phần được triển khai trong 6.11.4.2)

iCloud Passwords 3.1.25

LastPass 4.146.3

LogMeOnce 7.12.4

Các nhà cung cấp đã triển khai bản sửa lỗi là Dashlane (phiên bản 6.2531.1 phát hành ngày 01/8 vừa qua), NordPass, ProtonPass, RoboForm và Keeper (phiên bản 17.2.0 phát hành tháng 7). Tuy nhiên, người dùng nên đảm bảo rằng họ đang chạy phiên bản mới nhất của sản phẩm.

Cho đến khi bản sửa lỗi được cung cấp, Tóth khuyến nghị người dùng tắt chức năng tự động điền trong trình quản lý mật khẩu và chỉ sử dụng chức năng sao chép/dán.

BleepingComputer đã liên hệ với tất cả các nhà cung cấp chưa đưa bản sửa lỗi lên sản phẩm của họ và cam kết sẽ cập nhật thông tin ngay khi nhận được phản hồi của họ.

Theo đại diện của một số công ty cung cấp trình quản lý mật khẩu, "Chúng tôi đánh giá cao công sức của các nhà nghiên cứu bảo mật, như Marek Tóth, những người đã giúp nâng cao nhận thức về các mối đe dọa tiềm ẩn và cải thiện bảo mật toàn ngành. Lỗ hổng clickjacking mà Marek phát hiện cho thấy một thách thức lớn hơn mà tất cả các trình quản lý mật khẩu phải đối mặt: đạt được sự cân bằng phù hợp giữa trải nghiệm người dùng và sự tiện lợi, đồng thời giải quyết các mô hình đe dọa đang phát triển.

Đại diện của LastPass cho biết, công ty đã triển khai một số biện pháp bảo vệ chống clickjacking, bao gồm thông báo bật lên xuất hiện trước khi tự động điền thông tin thẻ tín dụng và thông tin cá nhân trên tất cả các trang web, và chúng tôi cam kết tìm hiểu các cách để bảo vệ người dùng hơn nữa trong khi vẫn duy trì trải nghiệm mà khách hàng mong đợi.

Trong thời gian chờ đợi, nhóm Tình báo, Giảm thiểu và Leo thang Mối đe dọa (TIME) của chúng tôi khuyến khích tất cả người dùng trình quản lý mật khẩu luôn cảnh giác, tránh tương tác với các lớp phủ hoặc cửa sổ bật lên đáng ngờ và cập nhật tiện ích mở rộng LastPass của họ." - Alex Cox, Giám đốc Tình báo, Giảm thiểu và Leo thang Mối đe dọa (TIME) tại LastPass.

Hà Linh