โปรแกรมจัดการรหัสผ่านรั่วไหลข้อมูลในการโจมตีแบบ Clickjacking ใหม่

Image by Volodymyr Kondriianenko, from Unsplash

โปรแกรมจัดการรหัสผ่านรั่วไหลข้อมูลในการโจมตีแบบ Clickjacking ใหม่

ระยะเวลาในการอ่าน: 1 นาที

อัพเดทล่าสุด: Aug 21, 2025

  • Kiara Fabbri

    ถูกเขียนขึ้นโดย Kiara Fabbri นักข่าวมัลติมีเดีย

  • ทีมแปลภาษา

    แปลโดย ทีมแปลภาษา ทีมแปลภาษาและบริการแปลภาษา

การศึกษาใหม่เตือนว่ามีผู้ใช้งานจัดการรหัสผ่านหลายล้านคนอาจเสี่ยงต่อการถูกโจมตีผ่านเบราว์เซอร์ที่อันตรายที่เรียกว่า “DOM-based Extension Clickjacking.”

รีบร้อน? นี่คือข้อมูลสำคัญที่คุณควรรู้:

  • ผู้โจมตีสามารถหลอกผู้ใช้ให้กรอกข้อมูลโดยอัตโนมัติด้วยการคลิกปลอมครั้งเดียว
  • ข้อมูลที่รั่วไหลมีการ์ดเครดิต, ข้อมูลเข้าสู่ระบบ, และแม้กระทั่งรหัสสองขั้นตอน
  • ยังมีผู้ใช้ 32.7 ล้านคนยังคงอยู่ในภาวะเปิดเผย เนื่องจากบางผู้ขายยังไม่ได้แก้ไขช่องโหว่

นักวิจัยผู้อยู่เบื้องหลังข้อมูลนี้ อธิบาย: “Clickjacking ยังคงเป็นภัยคุกคามด้านความปลอดภัย แต่จำเป็นต้องเปลี่ยนจากการใช้แอปพลิเคชันบนเว็บไปสู่ส่วนขยายบนเบราว์เซอร์ ซึ่งมีความนิยมมากขึ้นในปัจจุบัน (เช่น ผู้จัดการรหัสผ่าน, กระเป๋าเงินคริปโตและอื่นๆ)”

การโจมตีทำงานโดยการหลอกผู้ใช้ให้คลิกที่องค์ประกอบปลอม ซึ่งรวมถึงแถบคุกกี้และป๊อปอัพ captcha ในขณะที่สคริปต์ที่มองไม่เห็นกำลังเปิดใช้งานฟังก์ชัน autofill ของผู้จัดการรหัสผ่านอยู่เป็นความลับ นักวิจัยอธิบายว่าผู้โจมตีต้องการเพียงคลิกเดียวเพื่อขโมยข้อมูลที่ละเอียดอ่อน

“คลิกเพียงครั้งเดียวที่ไหนก็ได้บนเว็บไซต์ที่อยู่ภายใต้การควบคุมของผู้โจมตีสามารถทำให้ผู้โจมตีสามารถขโมยข้อมูลของผู้ใช้ (รายละเอียดบัตรเครดิต, ข้อมูลส่วนบุคคล, ข้อมูลเข้าสู่ระบบรวมถึง TOTP),” รายงานกล่าว

นักวิจัยได้ทดสอบ 11 โปรแกรมจัดการรหัสผ่านที่เป็นที่นิยม รวมถึง 1Password, Bitwarden, Dashlane, Keeper, LastPass, และ iCloud Passwords ผลการทดสอบทำให้ตกใจ: “ทั้งหมดนั้นสามารถถูกแทรกแซงโดยการคลิกขยาย ‘DOM-based Extension’ สิบล้านผู้ใช้งานคาดว่าอาจจะอยู่ในความเสี่ยง (~40 ล้านการติดตั้งที่ใช้งานอยู่)”

การทดสอบเปิดเผยว่ามีหกโปรแกรมจัดการรหัสผ่านจากเก้าโปรแกรมที่เผยแพร่รายละเอียดบัตรเครดิต ในขณะที่มีแปดโปรแกรมจัดการรหัสผ่านจากสิบโปรแกรมที่รั่วไหลข้อมูลส่วนบุคคล นอกจากนี้ยังมีสิบโปรแกรมจัดการรหัสผ่านจากสิบเอ็ดโปรแกรมที่ทำให้ผู้โจมตีสามารถขโมยข้อมูลเข้าสู่ระบบที่เก็บไว้ ในบางกรณี แม้แต่รหัสการรับรองความถูกต้องแบบสองขั้นตอนและรหัสผ่านสามารถถูกทำลายได้

แม้จะมีการแจ้งให้ผู้ขายทราบในเดือนเมษายน 2025 แต่นักวิจัยระบุว่าบางแบรนด์อย่าง Bitwarden, 1Password, iCloud Passwords, Enpass, LastPass, และ LogMeOnce ยังไม่ได้แก้ไขข้อบกพร่องเหล่านี้ ซึ่งนี่คือประเด็นที่น่าเป็นห่วงเป็นพิเศษเนื่องจากมันทำให้ผู้ใช้งานประมาณ 32.7 ล้านคนตกเป็นเป้าหมายของการโจมตีนี้

นักวิจัยสรุปว่า: “เทคนิคที่อธิบายนี้เป็นทั่วไป และฉันทดสอบมันเฉพาะบน 11 password managers เท่านั้น ส่วนขยายที่มีการจัดการ DOM อื่น ๆ อาจมีความเสี่ยง (password managers, crypto wallets, notes etc.)”

คุณชอบบทความนี้ไหม?
โหวตให้คะแนนเลยสิ!
ฉันเกลียดมัน ฉันไม่ค่อยชอบเท่าไหร่ พอใช้ได้ ค่อนข้างดี รักเลย!

เราดีใจที่คุณชื่นชอบผลงานของเรา!

ในฐานะผู้อ่านผู้ทรงคุณค่า คุณช่วยให้คะแนนเราบน Trustpilot หน่อยได้ไหม? การให้คะแนนนั้นรวดเร็วและสำคัญกับเรามาก ขอบคุณสำหรับความร่วมมือ!

ให้คะแนนเราบน Trustpilot
0 ได้รับการโหวตให้คะแนนโดย 0 ผู้ใช้
ชื่อเรื่อง
ความคิดเห็น
ขอบคุณสำหรับคำแนะนำของคุณ