Le vulnerabilità, rilevate in applicazioni diffuse come 1Password, Bitwarden, LastPass e altri, sfruttano la manipolazione delle estensioni del browser per indurre gli utenti a inserire credenziali, codici 2FA e dati finanziari in form invisibili.
L'attacco si basa sul clickjacking, ingannando gli utenti a cliccare su elementi apparentemente innocui, come banner o popup, che in realtà attivano il riempimento automatico delle credenziali da parte del password manager.
Il ricercatore ha dimostrato che un singolo script può identificare il password manager utilizzato e lanciare un attacco efficace, rendendo possibile il furto di credenziali, anche su sottodomini, e l'accesso a dati sensibili come numeri di carte di credito.
Sebbene alcuni sviluppatori abbiano già implementato contromisure, molti password manager rimangono vulnerabili, esponendo circa 40 milioni di utenti; le aziende stanno reagendo in modo frammentato, con risposte diverse alla gravità del problema.
Le contromisure immediate raccomandate includono la disattivazione dell'autofill, l'aggiornamento tempestivo dei password manager, la cautela verso banner sospetti e la segmentazione dei dati critici per mitigare i rischi.