Trong môi trường trực tuyến ngày càng nhiều rủi ro, một dạng tấn công cũ vừa quay trở lại với hình thức tinh vi hơn: các cửa sổ pop-up trên trình duyệt trông như nhằm mục đích xác thực hoặc hỗ trợ người dùng, thực chất lại được cài cắm mã độc để đánh cắp dữ liệu từ các trình quản lý mật khẩu (password manager). Điều đáng lo ngại là hầu hết các trình quản lý mật khẩu dưới dạng tiện ích mở rộng (browser extension) vẫn dễ bị tổn thương trước kỹ thuật tấn công này.
Các sản phẩm bị ảnh hưởng
Những công cụ phổ biến như 1Password, LastPass, NordPass, Enpass đều nằm trong danh sách dễ bị khai thác. Các giải pháp này lưu trữ toàn bộ thông tin định danh của người dùng trong kho mật mã hóa (encrypted vault) và sử dụng tiện ích mở rộng trên trình duyệt để tự động điền mật khẩu vào các biểu mẫu web.
So với trình quản lý mật khẩu tích hợp sẵn trong trình duyệt, các tiện ích mở rộng có nhiều lớp bảo vệ hơn. Trình quản lý tích hợp của trình duyệt thường mã hóa dữ liệu dựa trên thông tin đăng nhập của chính trình duyệt, khiến mã độc đánh cắp thông tin (infostealer malware) có thể dễ dàng giải mã khi người dùng đang đăng nhập.
Trong khi đó, trình quản lý mật khẩu dạng extension sử dụng mật khẩu chủ (master password) riêng, cơ chế auto-lock, và lưu trữ vault được mã hóa tách biệt. Tuy nhiên, như mọi giải pháp bảo mật, không có gì là tuyệt đối an toàn.
Sự trở lại của Clickjacking
Tại hội nghị an ninh mạng DEFCON, chuyên gia Marek Tóth đã công bố một kỹ thuật tấn công khai thác hầu hết các password manager dạng extension. Phương thức này lợi dụng clickjacking — một dạng tấn công trong đó kẻ xấu thay đổi cấu trúc hiển thị của website, khiến người dùng tưởng rằng mình đang click vào một thành phần hợp pháp, nhưng thực chất lại thực hiện hành động khác.
Bằng cách làm ẩn đi menu chọn tài khoản (dropdown selector) của tiện ích quản lý mật khẩu, kẻ tấn công có thể chèn một lớp overlay vô hình lên trên một nút bấm tưởng chừng hợp pháp. Khi người dùng click, họ thực tế đang kích hoạt dropdown selector, từ đó vô tình tiết lộ thông tin nhạy cảm được điền sẵn từ password manager.
Kết quả: mật khẩu và dữ liệu bí mật bị rò rỉ mà người dùng hoàn toàn không hay biết.
Nguy cơ thực tế
Hình thức clickjacking này có thể lợi dụng các pop-up giả mạo, chẳng hạn:
-
Banner xin phép sử dụng cookie (theo quy định GDPR tại châu Âu)
-
Nút xác thực danh tính / độ tuổi (“Bạn có đủ 18 tuổi?”)
-
Thông báo cảnh báo nội dung nhạy cảm
Ngoài thông tin đăng nhập, kẻ tấn công còn có thể đánh cắp:
-
Thông tin thẻ tín dụng
-
Dữ liệu cá nhân (tên, số điện thoại, địa chỉ…)
-
Passkeys (khóa xác thực thay thế mật khẩu)
-
TOTP (Time-based One-Time Password) từ ứng dụng xác thực
Ứng phó từ các nhà cung cấp
Tóth đã tiết lộ có trách nhiệm (responsible disclosure) cho các hãng quản lý mật khẩu, nhưng mức độ phản hồi không đồng đều:
-
Dashlane, Keeper, NordPass, ProtonPass, RoboForm: đã khắc phục.
-
Bitwarden, Enpass, Apple iCloud Keychain: đang xử lý.
-
1Password: phân loại là “informative”, chưa sửa triệt để.
-
LastPass: vá một phần (dữ liệu cá nhân và thẻ tín dụng), nhưng vẫn còn lỗ hổng với mật khẩu, passkeys và TOTP.
-
LogMeOnce: chưa phản hồi.
Biện pháp phòng ngừa
Để giảm thiểu rủi ro, chuyên gia khuyến nghị:
-
Luôn bật cập nhật tự động và dùng phiên bản mới nhất của trình quản lý mật khẩu.
-
Tắt chức năng tự động điền (autofill), thay vào đó copy-paste thủ công khi cần.
-
Hoặc cấu hình để autofill chỉ kích hoạt khi người dùng click thủ công vào icon extension (ví dụ trên Chrome/Edge: cài đặt extension → Site access → “On click”).
Và quan trọng nhất: cẩn trọng trước mọi cú click, đặc biệt trên những website không đáng tin cậy.
Cập nhật từ 1Password (27/08/2025)
Ông Jacob DePriest, CISO của 1Password, cho biết:
-
1Password đã có cơ chế xác nhận khi autofill thông tin thanh toán. Phiên bản sắp tới (đang chờ phê duyệt trên các store) sẽ mở rộng tính năng này cho các loại dữ liệu khác, cho phép người dùng kiểm soát và nhận thông báo mỗi khi autofill diễn ra.
-
Dữ liệu trong 1Password vẫn được mã hóa an toàn, không bị clickjacking giải mã hoặc truy xuất trực tiếp.
-
Passkeys và TOTP secrets về cơ bản an toàn: chỉ một mã OTP tạm thời có thể bị lộ, nhưng sẽ hết hạn nhanh và không ảnh hưởng đến khóa gốc.