六款主流密码管理器浏览器扩展被曝存在点击劫持漏洞，影响4000万用户

近日，在即将举行的 DEF CON 33 黑客大会前夕，有安全研究人员披露，六款主流密码管理器的浏览器扩展存在点击劫持漏洞，这些问题尚未得到修复，影响范围涉及约 4000 万用户。该研究由一位名为 Tóth 的安全专家主导，揭示了这些漏洞可能带来的严重安全隐患。

点击劫持是一种常见的网络攻击手段，攻击者通过在网页中嵌入透明或伪装的界面元素，例如虚假的按钮或验证码窗口，诱导用户点击。用户在不知情中操作的并非表面上的正常元素，而是背后隐藏的恶意指令。在此次研究中，攻击者可借此触发密码管理器的自动填充功能，从而窃取账号密码、验证码，甚至银行卡信息。

研究团队对 11 款主流密码管理器进行了测试，其中六款被发现存在明显的点击劫持风险。Bitwarden 在最新发布的 2025.8.0 版本中已修复相关问题，并向用户推送更新。Enpass 也已推出初步的缓解措施。其他品牌如 Dashlane、NordPass、Proton Pass、RoboForm 和 Keeper 则已在更早前完成修复。

相比之下，1Password 和 LastPass 在收到漏洞通报后，仅将问题归类为“信息性”问题，尚未发布紧急补丁。而 LogMeOnce 截至目前尚未对此作出回应。

此次研究再次提醒用户关注浏览器扩展的安全性，同时也呼吁厂商加快漏洞响应速度，以保护用户敏感数据免受潜在威胁。