Os gerenciadores de senha são comumente utilizados no celular e servem para guardar todas as chaves de acesso do usuário com um conjunto de criptografia. Dessa forma, você não precisa lembrar de cada acesso de login sempre que acessar um site diferente.
No entanto, nem sempre estes aplicativos tão práticos são seguros. O investigador de segurança independente Marek Tóth revelou falhas graves que permitiram o acesso de informações confidenciais por terceiros.
Até 40 milhões de pessoas podem ter ficado vulneráveis aos ataques
- Os problemas foram identificados em gerenciadores de senha populares, caso do Dashlane, Nordpass e 1Password.
- Segundo o portal, os invasores usaram clickjacking para acessar as informações.
- Este método incentiva o usuário a clicar em elementos indesejados na tela sem saber, fornecendo dados cruciais para a ação dos golpistas.
- Neste caso específico, a vulnerabilidade está nas extensões de navegador dos aplicativos que permitem a criação de elementos invisíveis na tela.
- Ao sobrepor o HTML visível, a vítima pensa estar navegando normalmente, mas acaba cedendo dados como número dos cartões de crédito, códigos de autenticação de dois fatores (2FA) e credenciais de acesso.
Leia mais
- Mantenha seus dados seguros com um gerenciador de senhas
- É seguro usar dica de senha nos serviços online?
- 2025 pode ser o pior ano para a proteção de dados, alerta empresa
Nem todos os aplicativos levaram o alerta a sério
O alerta aponta que o ataque consegue identificar qual gerenciador de senha é utilizado e se adaptar para o roubo. A ação pode ser efetiva mesmo que o usuário perceba que há algo errado e troque de aplicativo rapidamente.
As descobertas foram validadas pela empresa de cibersegurança Socket. Mesmo sendo avisadas em abril deste ano, algumas companhias não adotaram mudanças importantes para evitar a ação dos cibercriminosos. O Marek Tóth diz que os aplicativos 1Password e LastPass se limitaram a dizer que o clickjacking é um risco geral da internet. A LogMeOnce, por sua vez, não se pronunciou.
Já a Bitwarden minimizou a gravidade do caso, mas voltou atrás e informou que corrigiu os problemas. Dashlane, NordPass, ProtonPass, Keeper e RoboForm também atualizaram as extensões para corrigir as vulnerabilidades detectadas.
A principal recomendação para evitar ser alvo deste tipo de ataque é desativar a função de preenchimento manual. O ideal é copiar e colar a senha sem o uso do aplicativo. Também é sugerido sempre usar a extensão mais atual dos gerenciadores.
O post Gerenciadores de senha: falha expôs dados de milhões de usuários apareceu primeiro em Olhar Digital.
