Brugere af disse apps er i fare: 40 millioner brugere risikerer datatyveri

IT- og sikkerhedseksperter har i årevis anbefalet brugen af såkaldte password-managers for at holde loginoplysninger sikre og samlet ét sted.

Disse tjenester anses generelt for at være pålidelige og sikre, men nu er en udbredt sårbarhed blevet opdaget hos 11 udbydere, som hackere kan udnytte.

Sårbarheden blev opdaget af sikkerhedsforskere fra The Hacker News. Følgende password-managers har sårbare browserudvidelser baseret på DOM (Document Object Model):

• 1Password
• Bitwarden
• Dashlane
• Enpass
• iCloud Passwords
• Keeper
• LastPass
• LogMeOnce
• NordPass
• ProtonPass
• RoboForm

Listen inkluderer nogle af de mest kendte og udbredte password-managers og anslås at berøre op mod 40 millioner brugere verden over. Derfor opfordres der til stor forsigtighed.

Mange af disse udbydere har desuden endnu ikke rettet den pågældende fejl, og derfor kan datatyveri stadig finde sted. For tjenester som RoboForm, der allerede har udsendt en rettelse, er det vigtigt, at brugeren selv sørger for at opdatere softwaren for at undgå risiko.

Sådan får hackere adgang til dine adgangskoder

Den pågældende sårbarhed kaldes clickjacking. Hackere kan lokke intetanende brugere ind på falske websites, som ligner rigtige sider til forveksling, men som i virkeligheden indeholder usynlige elementer.

I visse tilfælde kan et enkelt forkert klik få password-manageren til at aktivere sig og automatisk forsøge at udfylde loginoplysninger. Hackere overvåger disse forsøg og griber ind, hvilket kan give dem adgang til manageren og de gemte adgangskoder.

Ofte bemærker brugeren ikke angrebet, fordi siden blot lukkes ned uden nogen advarsel. Men hvorfor er netop disse password-managers nu blevet sårbare over for denne type angreb? Det skyldes en svaghed i DOM-strukturen, som gør det muligt for clickjacking at finde sted.

Det er i øvrigt ikke kun adgangskoder, der kan opsnappes. Andre følsomme oplysninger – såsom gemte kreditkortoplysninger, navne, adresser og telefonnumre – kan ligeledes blive udnyttet til phishing-angreb.

Sårbarheden blev rapporteret til de berørte udbydere tilbage i april 2025, men kun under halvdelen har reageret. Bitwarden har dog udsendt en ny version af deres plugin, som adresserer problemet, skriver PC World.

Sådan beskytter du dig selv

Der findes ikke én enkelt løsning, der kan beskytte dig 100 % mod clickjacking. Som altid gælder det, at du aldrig bør klikke på ukendte eller uventede links, heller ikke hvis de tilsyneladende fører til legitime hjemmesider.

Det er sikrest at åbne et nyt faneblad manuelt og selv skrive adressen ind eller bruge dine egne gemte bogmærker.

Hvis du bruger en Chromium-baseret browser (som de fleste gør i dag) sammen med en password-manager, anbefales det at ændre autofyld-indstillingerne til ‘Klik for at udfylde’. Det forhindrer, at adgangskoder bliver udfyldt automatisk uden din godkendelse.

Alternativt kan du overveje at slå automatisk udfyldning af e-mailadresser og anden data fra i browserens indstillinger under ‘Autofyld og adgangskoder’.