نقص بزرگ در بهترین رمز عبور مدیران به دزدان دریایی رایانه اجازه می دهند تا اطلاعات ورود به سیستم شما ، کدهای 2FA ، اطلاعات کارت اعتباری و موارد دیگر را سرقت کنند

مشخص شد که بسیاری از بهترین مدیران رمز عبور در برابر نقصی آسیب پذیر بودند که به دزدان دریایی رایانه اجازه می داد تا کلیک را برداشت کنند. محقق مارك توث نشان داد كه چگونه این خطا به تازگی به مهاجمان اجازه داده است عناصر نامرئی HTML را در رابط پوشش دهند ، به طوری كه كاربران فکر می كنند كه روی یك پنجره استاندارد باز شده کلیک می كنند ، اما در عوض ، آنها در واقع اطلاعات حساس مانند اطلاعات هویت حساب ، كدهای 2FA یا جزئیات کارت اعتباری را نشت می كنند.

Bleeping Computer گفت که یافته های Tóth در کنفرانس August Def Con 33 محقق محقق. هنگامی که یک بازیکن تهدید از یک وب سایت مخرب آسیب پذیر در برابر سناریوی قربانی یا مسمومیت حافظه نهان بازدید می کند ، می تواند از این نقص که در آن رانش نامرئی رخ می دهد بهره مند شود. هکر فقط باید یک سایت جعلی ایجاد کند و یک پنجره مداخله گر مانند صفحه جلسه یا پرچم تأیید. این پاپ آپ شامل همپوشانی یک فرم ورود نامرئی است ، یعنی وقتی برای بستن پنجره قربانی بر روی سایت کلیک می کنید ، مدیران رمز عبور اطلاعات شناسایی خود یا سایر اطلاعات حساس را به یک سایت مخرب که به سرور از راه دور ارسال می کند ، خودکار می کنند.

Tóth روش های بسیاری را نشان داده است که می توان با استفاده از انواع مختلف از جمله دستکاری عنصر DOM (مدل شیء) ، دستکاری عنصر ریشه ، دستکاری والدین یا همپوشانی جزئی یا کامل ، از این نقص استفاده کرد. علاوه بر این ، رابط کاربری روشی را نشان داد که در آن مکان نما ماوس از مکان نما ماوس پیروی می کند ، به طوری که هر کلیک روی صفحه باعث ایجاد خودکار داده های کلیک می شود. از همه بدتر ، Tóth اعلام کرده است که می توان از یک اسکریپت حمله جهانی استفاده کرد تا تعیین کند که مدیر رمز عبور در مرورگر قربانی فعال است ، به طوری که این حمله می تواند در زمان واقعی اقتباس شود.