天呐,多款密码管理器曝严重漏洞, 2FA 才是出路吗?

2025 年 8 月 22 日
 Ryanzlab
6 款主流密码管理器曝严重漏洞,影响 4000 万用户

安全研究员在 DEF CON 33 黑客大会上披露,LastPass 、1Password 、Bitwarden 、Enpass 、iCloud Passwords 和 LogMeOnce 等六款主流密码管理器浏览器扩展存在未修复的点击劫持漏洞,影响约 4000 万用户。

攻击者可通过在网页覆盖透明或伪造界面元素,诱导用户误点击后触发密码管理器自动填充功能,导致账号密码、认证码甚至银行卡信息泄露。目前 Bitwarden 已在 2025.8.0 版本修复相关问题,Enpass 推出部分缓解措施,而 1Password 和 LastPass 仅将漏洞列为"信息性"问题,尚未紧急修复。
4058 次点击
所在节点    问与答
22 条回复
Greenm
2025 年 8 月 22 日
你都能覆盖透明或伪造界面元素了,那你也能直接伪造一个登陆框让用户输入账号密码,这不是一样的么。

你们媒体人啊,不要见风就说是雨,如果将来你们报导上有偏差,你们要负责。
TsubasaHanekaw
2025 年 8 月 22 日
你是说,有一个网页, 通过了插件的域名匹配, 然后有用户名密码输入页面 然后我就要输账号密码了?
xiangyuecn
2025 年 8 月 22 日
严重漏洞???实际上可以说是毫不相干
jydeng
2025 年 8 月 22 日
标题党,可以拉黑了
Overfill3641
2025 年 8 月 22 日
我还以为是存储、加密、通信方面的漏洞,原来是诈骗啊😆。
kera0a
2025 年 8 月 22 日
都这样了,是不是自己直接查数据库更方便点?
pchychina
2025 年 8 月 22 日
strongbox 没在里边吧?
irainsoft
2025 年 8 月 22 日
看完我只想知道 Bitwarden 修了什么?
sudo123
2025 年 8 月 22 日
我用 keepass
MajestySolor
2025 年 8 月 22 日
我比较好奇 bitwarden 具体“修复”了什么东西🤣
danbai
2025 年 8 月 22 日
可能是修复了确保输入框可见才填充吧
Mystery0
2025 年 8 月 22 日
@irainsoft 修复了这个被归类为漏洞的漏洞(把媒体人号 ban 了),也许啥都没改就发了个版😂
wegbjwjm
2025 年 8 月 22 日
我用的 XyKey 只有本地
hefish
2025 年 8 月 22 日
看这位 op 发贴标题,基本都是骗回帖的。我手动 block 他了。
aileaile
2025 年 8 月 22 日
KeePass 稳如狗,墙裂推荐!
card123
2025 年 8 月 23 日
也不知道到底想说什么
docx
2025 年 8 月 23 日
社会学漏洞能让密码器背锅吗
Foxkeh
2025 年 8 月 23 日
OP 发的这些灌水帖子有啥意义呢
zhouweiluan
2025 年 8 月 23 日
说白了这不就是纯钓鱼么,跟伪造一个钓鱼网站让你输入账号密码本质上一样。
snw
2025 年 8 月 23 日
看原文吧,如果看不明白文字的先看看视频演示

https://marektoth.com/blog/dom-based-extension-clickjacking/

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1154273

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX