Pesquisadores alertam para vulnerabilidades em extensões de 1Password, Bitwarden e LastPass expostas a ataques de clickjacking
Falhas foram descobertas em 11 extensões até 19 de agosto; Bitwarden e Enpass já iniciaram correções.
Um novo relatório de segurança divulgado em agosto trouxe um alerta preocupante para milhões de usuários de gerenciadores de senhas: extensões de navegador populares como 1Password, Bitwarden, LastPass, Enpass e outras estão vulneráveis a ataques do tipo clickjacking — técnica maliciosa que engana o usuário a clicar em elementos invisíveis ou manipulados.
A descoberta afeta 11 extensões no total, com versões analisadas até 19 de agosto de 2025, e reforça os riscos associados ao uso de ferramentas que armazenam dados sensíveis diretamente no navegador.
O que é clickjacking?
O clickjacking é uma técnica de engenharia social digital, em que um invasor sobrepõe elementos ocultos (como botões ou formulários) sobre o conteúdo visível de um site legítimo. Dessa forma, o usuário pensa estar interagindo com uma interface confiável, mas na verdade está clicando em comandos manipulados pelo atacante — como autorizar uma transação, compartilhar dados ou até desbloquear senhas.
No caso das extensões vulneráveis, pesquisadores demonstraram que era possível induzir o clique em campos de desbloqueio ou exportação de senhas, criando um risco grave de exfiltração silenciosa de dados pessoais.
Quais programas foram afetados?
Entre os gerenciadores citados no relatório estão:
- 1Password
- Bitwarden
- LastPass
- Enpass
- Outras sete extensões não especificadas publicamente por questões de divulgação responsável
A equipe responsável pela pesquisa seguiu os protocolos de segurança e notificou as empresas antes da divulgação pública. Em resposta:
- O Bitwarden confirmou o problema e já começou a implementar correções em sua extensão;
- O Enpass também declarou estar trabalhando em um patch de segurança;
- As demais empresas ainda não emitiram comunicados oficiais até o fechamento da matéria.
Como se proteger?
Especialistas recomendam que os usuários:
- Atualizem imediatamente suas extensões de navegador;
- Evitem interagir com formulários sensíveis em sites desconhecidos ou suspeitos;
- Utilizem a verificação em duas etapas (2FA) sempre que possível para proteger logins críticos;
- Prefiram abrir os gerenciadores fora do navegador, em seus apps nativos, ao realizar tarefas sensíveis como exportação de senhas.
Embora os gerenciadores de senha continuem sendo ferramentas valiosas para a segurança digital, episódios como esse demonstram que nem mesmo as soluções voltadas à proteção estão imunes a falhas — especialmente quando integradas diretamente ao navegador.
Você costuma usar extensões para gerenciar senhas?
Conte pra gente se já pensou em alternativas mais seguras ou se pretende revisar seus hábitos de navegação.
Fontes:
BleepingComputer, The Hacker News, relatório de segurança independente, documentação das empresas afetadas