ثغرة في إضافات مديري كلمات المرور تهدد بسرقة بيانات الاعتماد والمعلومات الحساسة

ثغرة في إضافات مديري كلمات المرور تهدد بسرقة بيانات الاعتماد والمعلومات الحساسة
ثغرة في إضافات مديري كلمات المرور تهدد بسرقة بيانات الاعتماد والمعلومات الحساسة
شارك هذا الخبر

كشف باحثون أمنيون عن ثغرة خطيرة في إضافات مديري كلمات المرور لمتصفحات الويب، يمكن استغلالها عبر هجوم النقر الخادع (Clickjacking) لسرقة بيانات تسجيل الدخول، رموز المصادقة الثنائية، وأرقام بطاقات الائتمان.

الباحث الأمني المستقل Marek Tóth أطلق على التقنية الجديدة اسم هجوم النقر الخادع القائم على DOM، حيث عرض نتائجه خلال مؤتمر الأمن السيبراني DEF CON 33 هذا الشهر.

كيف يعمل هجوم النقر الخادع القائم على DOM

يعتمد الهجوم على خداع المستخدم للنقر فوق عناصر على صفحة ويب تبدو عادية، لكنها في الحقيقة تنفذ أوامر المهاجم. يقوم المهاجم بحقن نصوص خبيثة داخل الصفحة للتلاعب بالعناصر التي تضيفها إضافات مديري كلمات المرور إلى هيكل المستند DOM، مثل نوافذ الملء التلقائي، عبر جعلها غير مرئية باستخدام خاصية إخفاء الشفافية.

وبذلك، يمكن لموقع مزيف يحتوي على نافذة منبثقة مثل شاشة تسجيل دخول أو إشعار ملفات تعريف الارتباط أن يستغل النقرة العادية من المستخدم، فيقوم مدير كلمات المرور بملء بيانات الاعتماد تلقائيًا، ثم تُرسل هذه البيانات مباشرة إلى خادم يسيطر عليه المهاجم.

مديري كلمات المرور المعرضون للهجوم

ركزت الدراسة على 11 إضافة شائعة لمديري كلمات المرور من بينها:

  • 1Password

  • iCloud Passwords

  • Bitwarden

  • Enpass

  • LastPass

  • LogMeOnce

وأظهرت النتائج أن جميعها عرضة لهذا النوع من الهجمات، مما يعرض ملايين المستخدمين للخطر.

ووفقًا للباحث Tóth، فإن معظم مديري كلمات المرور يقومون بملء بيانات الاعتماد ليس فقط للنطاق الرئيسي، بل أيضًا لجميع النطاقات الفرعية، وهو ما يجعل المهاجمين قادرين على استغلال ثغرات مثل XSS لسرقة بيانات المستخدمين بنقرة واحدة فقط.

مستوى الخطر والتأثير المحتمل

  • 10 من أصل 11 إضافة قامت بملء بيانات الاعتماد بشكل غير آمن.

  • 9 من أصل 11 معرضة لسرقة رموز TOTP للمصادقة الثنائية.

  • 8 من أصل 11 يمكن استغلالها في سيناريوهات مرتبطة بالمفاتيح البيومترية Passkeys.

الشركات المتأثرة وردودها

بعد إبلاغ الشركات بشكل مسؤول، لم تقم ستة من المزودين حتى الآن بإصدار إصلاحات، وتشمل:

  • 1Password Password Manager 8.11.4.27

  • Apple iCloud Passwords 3.1.25

  • Bitwarden Password Manager 2025.7.0

  • Enpass 6.11.6

  • LastPass 4.146.3

  • LogMeOnce 7.12.4

وأشارت شركة Socket للأمن السيبراني أن Bitwarden وEnpass وiCloud يعملون بالفعل على إصدار تحديثات، بينما اعتبرت 1Password وLastPass المشكلة مجرد معلومات أمنية دون اتخاذ خطوات فورية. كما تم التواصل مع US-CERT لإسناد معرفات ثغرات CVE لهذه العيوب.

توصيات الحماية للمستخدمين

إلى أن يتم إصدار التحديثات الأمنية، يُنصح المستخدمون بما يلي:

  • تعطيل ميزة الملء التلقائي في مديري كلمات المرور والاكتفاء بالنسخ واللصق.

  • بالنسبة لمستخدمي المتصفحات المبنية على Chromium، يُفضل ضبط إعدادات الإضافات على خيار التشغيل عند النقر للتحكم اليدوي بعملية الملء التلقائي.

وسوم
محمد وهبى
محمد وهبى
المقالات: 443

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة