Image by Volodymyr Kondriianenko, from Unsplash
โปรแกรมจัดการรหัสผ่านรั่วไหลข้อมูลในการโจมตีแบบ Clickjacking ใหม่
Reading Time: 1 min
First published Aug 21, 2025
Updated 2 times since publishing
-
![Kiara Fabbri]()
-
![ทีมแปลภาษา]()
Translated by ทีมแปลภาษา ทีมแปลภาษาและบริการแปลภาษา
การศึกษาใหม่เตือนว่ามีผู้ใช้งานจัดการรหัสผ่านหลายล้านคนอาจเสี่ยงต่อการถูกโจมตีผ่านเบราว์เซอร์ที่อันตรายที่เรียกว่า “DOM-based Extension Clickjacking.”
รีบร้อน? นี่คือข้อมูลสำคัญที่คุณควรรู้:
- ผู้โจมตีสามารถหลอกผู้ใช้ให้กรอกข้อมูลโดยอัตโนมัติด้วยการคลิกปลอมครั้งเดียว
- ข้อมูลที่รั่วไหลมีการ์ดเครดิต, ข้อมูลเข้าสู่ระบบ, และแม้กระทั่งรหัสสองขั้นตอน
- ยังมีผู้ใช้ 32.7 ล้านคนยังคงอยู่ในภาวะเปิดเผย เนื่องจากบางผู้ขายยังไม่ได้แก้ไขช่องโหว่
นักวิจัยผู้อยู่เบื้องหลังข้อมูลนี้ อธิบาย: “Clickjacking ยังคงเป็นภัยคุกคามด้านความปลอดภัย แต่จำเป็นต้องเปลี่ยนจากการใช้แอปพลิเคชันบนเว็บไปสู่ส่วนขยายบนเบราว์เซอร์ ซึ่งมีความนิยมมากขึ้นในปัจจุบัน (เช่น ผู้จัดการรหัสผ่าน, กระเป๋าเงินคริปโตและอื่นๆ)”
การโจมตีทำงานโดยการหลอกผู้ใช้ให้คลิกที่องค์ประกอบปลอม ซึ่งรวมถึงแถบคุกกี้และป๊อปอัพ captcha ในขณะที่สคริปต์ที่มองไม่เห็นกำลังเปิดใช้งานฟังก์ชัน autofill ของผู้จัดการรหัสผ่านอยู่เป็นความลับ นักวิจัยอธิบายว่าผู้โจมตีต้องการเพียงคลิกเดียวเพื่อขโมยข้อมูลที่ละเอียดอ่อน
“คลิกเพียงครั้งเดียวที่ไหนก็ได้บนเว็บไซต์ที่อยู่ภายใต้การควบคุมของผู้โจมตีสามารถทำให้ผู้โจมตีสามารถขโมยข้อมูลของผู้ใช้ (รายละเอียดบัตรเครดิต, ข้อมูลส่วนบุคคล, ข้อมูลเข้าสู่ระบบรวมถึง TOTP),” รายงานกล่าว
นักวิจัยได้ทดสอบ 11 โปรแกรมจัดการรหัสผ่านที่เป็นที่นิยม รวมถึง 1Password, Bitwarden, Dashlane, Keeper, LastPass, และ iCloud Passwords ผลการทดสอบทำให้ตกใจ: “ทั้งหมดนั้นสามารถถูกแทรกแซงโดยการคลิกขยาย ‘DOM-based Extension’ สิบล้านผู้ใช้งานคาดว่าอาจจะอยู่ในความเสี่ยง (~40 ล้านการติดตั้งที่ใช้งานอยู่)”
การทดสอบเปิดเผยว่ามีหกโปรแกรมจัดการรหัสผ่านจากเก้าโปรแกรมที่เผยแพร่รายละเอียดบัตรเครดิต ในขณะที่มีแปดโปรแกรมจัดการรหัสผ่านจากสิบโปรแกรมที่รั่วไหลข้อมูลส่วนบุคคล นอกจากนี้ยังมีสิบโปรแกรมจัดการรหัสผ่านจากสิบเอ็ดโปรแกรมที่ทำให้ผู้โจมตีสามารถขโมยข้อมูลเข้าสู่ระบบที่เก็บไว้ ในบางกรณี แม้แต่รหัสการรับรองความถูกต้องแบบสองขั้นตอนและรหัสผ่านสามารถถูกทำลายได้
แม้จะมีการแจ้งให้ผู้ขายทราบในเดือนเมษายน 2025 แต่นักวิจัยระบุว่าบางแบรนด์อย่าง Bitwarden, 1Password, iCloud Passwords, Enpass, LastPass, และ LogMeOnce ยังไม่ได้แก้ไขข้อบกพร่องเหล่านี้ ซึ่งนี่คือประเด็นที่น่าเป็นห่วงเป็นพิเศษเนื่องจากมันทำให้ผู้ใช้งานประมาณ 32.7 ล้านคนตกเป็นเป้าหมายของการโจมตีนี้
นักวิจัยสรุปว่า: “เทคนิคที่อธิบายนี้เป็นทั่วไป และฉันทดสอบมันเฉพาะบน 11 password managers เท่านั้น ส่วนขยายที่มีการจัดการ DOM อื่น ๆ อาจมีความเสี่ยง (password managers, crypto wallets, notes etc.)”
Previous Story
Latest Articles 
