近期資安研究員 Marek Tóth 發現了一種名為「基於 DOM 的擴充功能點擊劫持」（DOM-based Extension Clickjacking）的新型安全漏洞，這種漏洞主要影響多款熱門的瀏覽器密碼管理器擴充功能。駭客可以利用這項技術，在使用者不知情的狀況下，竊取包括登入憑證、雙因素驗證碼（TOTP）和信用卡資訊在內的敏感資料。這項攻擊的原理是透過操縱擴充功能注入網頁的隱形使用者介面（UI）元素，例如自動填寫提示，來達成惡意目的。

攻擊者可以建立一個看似無害的惡意網站，並在網站上設計一個會彈出的視窗，同時在背景嵌入一個隱形的登入表單。當使用者點擊彈出視窗上的「關閉」按鈕時，他們會以為自己只是關閉了廣告或通知，但實際上，他們的密碼管理器擴充功能會被欺騙，自動將儲存的帳號密碼填寫到那個隱形的表單中。這些被竊取的資料隨後會被自動傳送到駭客的遠端伺服器。

這項研究揭示了令人擔憂的數據：在 11 個受測的密碼管理器中，有 10 個容易受到憑證竊取攻擊，其中 9 個甚至可被用來竊取雙因素驗證碼。這代表即使是號稱安全的密碼管理器，也可能因其自動填寫功能而成為駭客的攻擊目標。

儘管有些廠商如 Bitwarden、Enpass 和 iCloud Passwords 已著手修復此漏洞，但文章指出，如 1Password 和 LastPass 等知名密碼管理器仍未發布相關修補程式。在漏洞修補程式發布之前，資安專家強烈建議使用者採取應對措施以保護自己。最有效的防禦方法是停用密碼管理器中的自動填寫功能，並改為手動複製和貼上帳號密碼，雖然較為不便，但能有效防止點擊劫持攻擊。

網路安全威脅正不斷演變，即使是我們信任的工具也可能存在未知的風險。使用者和開發者都必須保持警覺，持續關注最新的資安情報，並在發現漏洞時及時採取行動，以確保數位資產的安全。

資料來源：https://thehackernews.com/2025/08/dom-based-extension-clickjacking.html