ช่องโหว่ Clickjacking วิกฤตเปิดโอกาสให้ผู้ใช้ Password Manager 40 ล้านคนเสี่ยงต่อการโจรกรรมข้อมูล

ช่องโหว่ด้านความปลอดภัยที่แพร่หลายซึ่งส่งผลกระทบต่อแพลตฟอร์มจัดการรหัสผ่านหลักๆ ได้ทำให้ผู้ใช้ประมาณ 40 ล้านคนเสี่ยงต่อการโจมตี clickjacking ที่ซับซ้อน ซึ่งอาจเปิดเผยข้อมูลการเข้าสู่ระบบ รหัสยืนยันตัวตนสองขั้นตอน และข้อมูลทางการเงิน ช่องโหว่เหล่านี้ซึ่งค้นพบในแพลตฟอร์มจัดการรหัสผ่านชั้นนำหกแห่ง แสดงให้เห็นว่าผู้โจมตีสามารถจัดการ browser extensions เพื่อขโมยข้อมูลสำคัญผ่านเทคนิคการหลอกลวงส่วนติดต่อผู้ใช้

ภาพประกอบที่สื่อถึงช่องโหว่ในส่วนขยายสำหรับจัดการรหัสผ่านอย่าง LastPass , 1Password และ Bitwarden โดยเน้นย้ำถึงภัยคุกคามจากการโจมตี clickjacking

การค้นพบและขนาดของปัญหา

นักวิจัยด้านความปลอดภัย Marek Tóth ได้เปิดเผยช่องโหว่วิกฤตเหล่านี้ที่งาน DEF CON 33 ในเดือนสิงหาคม 2025 โดยเผยให้เห็นว่า browser extensions สำหรับ 1Password , Bitwarden , Enpass , iCloud Passwords , LastPass และ LogMeOnce ล้วนมีช่องโหว่ที่สามารถถูกใช้ประโยชน์ได้ งานวิจัยซึ่งทดสอบ password managers ยอดนิยม 11 ตัวรวมกัน พบว่าผลิตภัณฑ์ทุกตัวแสดงความเสี่ยงต่อเทคนิคการโจมตีอย่างน้อยหนึ่งแบบ Tóth ได้เปิดเผยผลการค้นพบเหล่านี้ต่อบริษัทที่ได้รับผลกระทบทั้งหมดอย่างมีความรับผิดชอบในเดือนเมษายน 2025 โดยให้เวลาหลายเดือนในการพัฒนาการแก้ไขก่อนการประกาศต่อสาธารณะ

วิธีการทำงานของการโจมตี Clickjacking

กลไกการโจมตีอาศัยการจัดการเทคโนโลยีเว็บที่ซับซ้อนเพื่อสร้างองค์ประกอบที่มองไม่เห็นหรือโปร่งใสที่ซ้อนทับส่วนติดต่อ password manager ที่ถูกต้อง ผู้โจมตีสร้างเว็บไซต์ที่เป็นอันตรายซึ่งมีองค์ประกอบปลอมเช่น แบนเนอร์ยินยอม cookie แบบฟอร์ม CAPTCHA หรือหน้าจอเข้าสู่ระบบที่ดูไม่เป็นอันตรายต่อผู้ใช้ เมื่อเหยื่อโต้ตอบกับองค์ประกอบที่ดูไม่เป็นอันตรายเหล่านี้ การคลิกของพวกเขาจะถูกเปลี่ยนเส้นทางแบบลับๆ ไปยังแบบฟอร์ม password manager ที่ซ่อนอยู่ ทำให้เกิดการเติมข้อมูลอัตโนมัติที่ส่งข้อมูลสำคัญไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุมโดยตรง

วิธีการใช้ประโยชน์ทางเทคนิค

Tóth ได้สาธิตรูปแบบการโจมตีหลายแบบในระหว่างการนำเสนอ รวมถึงการจัดการองค์ประกอบ document object model โดยตรง การเปลี่ยนความทึบของ root element และเทคนิคการซ้อนทับส่วนติดต่อบางส่วนหรือทั้งหมด วิธีการหนึ่งที่น่ากังวลเป็นพิเศษเกี่ยวข้องกับการทำให้ส่วนติดต่อที่เป็นอันตรายติดตามเคอร์เซอร์เมาส์ของผู้ใช้ เพื่อให้แน่ใจว่าการคลิกที่ใดก็ตามบนหน้าจะทำให้เกิดการเติมข้อมูลอัตโนมัติที่ไม่พึงประสงค์ นักวิจัยยังได้พัฒนาสคริปต์การโจมตีแบบสากลที่สามารถระบุว่า password manager ใดที่ใช้งานอยู่ในเบราว์เซอร์ของเหยื่อ และปรับวิธีการโจมตีแบบไดนามิกแบบเรียลไทม์

วิธีการโจมตีที่ได้รับการสาธิต

• การจัดการความโปร่งใสของ DOM Element โดยตรง: ทำให้องค์ประกอบของตัวจัดการรหัสผ่านโปร่งใส
• การจัดการความโปร่งใสของ Root Element: ส่งผลต่อการมองเห็นของอินเทอร์เฟซทั้งหมด
• การจัดการความโปร่งใสของ Parent Element: กำหนดเป้าหมายไปที่องค์ประกอบคอนเทนเนอร์
• การซ้อนทับบางส่วน/เต็มหน้า: ปิดบังองค์ประกอบที่ถูกต้องด้วยองค์ประกอบปลอม
• การติดตามเคอร์เซอร์เมาส์: องค์ประกอบ UI ที่ติดตามการเคลื่อนไหวของเคอร์เซอร์เพื่อการคลิกแบบสากล
• สคริปต์โจมตีแบบสากล: ตรวจจับตัวจัดการรหัสผ่านที่ใช้งานอยู่โดยอัตโนมัติและปรับการโจมตีให้เหมาะสม

การตอบสนองของผู้จำหน่ายและสถานะปัจจุบัน

การตอบสนองจากบริษัท password manager มีความหลากหลาย สะท้อนให้เห็นแนวทางที่แตกต่างกันในการจัดการกับข้อกังวลด้านความปลอดภัยเหล่านี้ Bitwarden ได้รับทราบช่องโหว่อย่างรวดเร็วและปล่อยการแก้ไขในเวอร์ชัน 2025.8.0 ซึ่งกำลังถูกนำไปใช้ใน browser extension stores อย่างไรก็ตาม ทั้ง 1Password และ LastPass ในตอนแรกจัดประเภทช่องโหว่ที่รายงานเป็นข้อมูลให้ทราบ แสดงให้เห็นว่าพวกเขาไม่ถือว่าเป็นปัญหาที่ต้องการการแก้ไขทันที LastPass ภายหลังได้ระบุว่ากำลังทำงานเพื่อจัดการกับปัญหาในขณะที่เน้นย้ำมาตรการป้องกันที่มีอยู่เช่น การแจ้งเตือน pop-up ก่อนการเติมข้อมูลสำคัญอัตโนมัติ

โปรแกรมจัดการรหัสผ่านที่ได้รับผลกระทบและเวอร์ชัน

ผลกระทบต่ออุตสาหกรรมและเวอร์ชันที่ได้รับผลกระทบ

ช่องโหว่ส่งผลกระทบต่อเวอร์ชันเฉพาะของ password manager แต่ละตัว รวมถึง 1Password เวอร์ชัน 8.11.4.27, Bitwarden เวอร์ชัน 2025.7.0, Enpass เวอร์ชัน 6.11.6, iCloud Passwords เวอร์ชัน 3.1.25, LastPass เวอร์ชัน 4.146.3 และ LogMeOnce เวอร์ชัน 7.12.4 ที่น่าสังเกตคือ ผู้เล่นในอุตสาหกรรมอื่นๆ หลายราย รวมถึง Dashlane , NordPass , Proton Pass , RoboForm และ Keeper ตอบสนองอย่างรวดเร็วด้วยการแพทช์หรืออัปเดตก่อนการเปิดเผยต่อสาธารณะ แสดงให้เห็นว่าการแก้ไขอย่างรวดเร็วเป็นไปได้เมื่อผู้จำหน่ายให้ความสำคัญกับปัญหาความปลอดภัยเหล่านี้

มาตรการป้องกันที่แนะนำ

จนกว่าการแก้ไขที่ครอบคลุมจะถูกนำไปใช้ในทุกแพลตฟอร์ม ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำมาตรการป้องกันหลายประการสำหรับผู้ใช้ password manager ขั้นตอนที่มีประสิทธิภาพมากที่สุดในทันทีคือการปิดใช้งานฟังก์ชัน autofill ภายใน password manager extensions และเปลี่ยนไปใช้เวิร์กโฟลว์ copy-paste ด้วยตนเองสำหรับการจัดการข้อมูลประจำตัว ผู้ใช้เบราว์เซอร์ที่ใช้ Chromium ควรกำหนดค่าการตั้งค่าการเข้าถึงไซต์เป็นโหมด on click เพื่อให้สามารถควบคุมฟังก์ชัน autofill ด้วยตนเองได้ นอกจากนี้ การรักษาความระมัดระวังที่เพิ่มขึ้นเมื่อพบ web overlays , pop-ups หรือองค์ประกอบส่วนติดต่อที่ไม่คาดคิดที่น่าสงสัยสามารถช่วยป้องกันการโจมตีที่ประสบความสำเร็จ

ขั้นตอนการป้องกันเบื้องต้น

1. ปิดการกรอกอัตโนมัติ: ปิดฟังก์ชันการกรอกข้อมูลอัตโนมัติใน extension ตัวจัดการรหัสผ่าน
2. ใช้การคัดลอกและวาง: คัดลอกและวางข้อมูลการเข้าสู่ระบบด้วยตนเองแทนการกรอกอัตโนมัติ
3. กำหนดค่าการตั้งค่าเบราว์เซอร์: ตั้งค่าเบราว์เซอร์ที่ใช้ Chromium ให้เป็น "เมื่อคลิก" สำหรับการเข้าถึง extension
4. อัปเดตซอฟต์แวร์: ตรวจสอบให้แน่ใจว่าได้ติดตั้งตัวจัดการรหัสผ่านเวอร์ชันล่าสุดแล้ว
5. ใช้ความระมัดระวัง: ระวังป๊อปอัป การซ้อนทับ และองค์ประกอบอินเทอร์เฟซที่น่าสงสัย

ผลกระทบด้านความปลอดภัยระยะยาว

การค้นพบนี้เน้นย้ำข้อกังวลที่กว้างขึ้นเกี่ยวกับสถาปัตยกรรมความปลอดภัยของ browser extensions และความท้าทายในการปกป้องข้อมูลสำคัญในสภาพแวดล้อมเว็บที่ซับซ้อนมากขึ้น ในขณะที่ผู้จำหน่ายบางรายโต้แย้งว่า clickjacking เป็นความเสี่ยงด้านความปลอดภัยเว็บทั่วไปที่ได้รับการบรรเทาโดยโมเดลความปลอดภัยของเบราว์เซอร์มากกว่าซอฟต์แวร์ password manager เพียงอย่างเดียว การสาธิตการโจมตีเหล่านี้ที่ประสบความสำเร็จแสดงให้เห็นว่าจำเป็นต้องมีมาตรการป้องกันเพิ่มเติม เหตุการณ์นี้เน้นย้ำความสำคัญของการตรวจสอบความปลอดภัยเป็นประจำสำหรับเครื่องมือจัดการรหัสผ่านและความจำเป็นในมาตรฐานทั่วทั้งอุตสาหกรรมที่จัดการกับช่องโหว่เฉพาะ extension