Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • ClickJacking Kerentanan Baru pada Manajer Kata Sandi
  • Teknologi

ClickJacking Kerentanan Baru pada Manajer Kata Sandi

2 min read
ClickJacking Kerentanan Baru pada Manajer Kata Sandi

Credit image: Dreamina

ClickJacking Kerentanan Baru pada Manajer Kata Sandi – Kerentanan keamanan clickjacking telah ditemukan pada plugin manajer kata sandi populer untuk peramban web. Kerentanan ini dapat dieksploitasi untuk mencuri kredensial akun, kode otentikasi dua faktor (2FA), dan detail kartu kredit dalam kondisi tertentu.

Teknik ini dinamai DOM (Document Object Model)-based extension clickjacking oleh peneliti keamanan independen Marek Tóth pada konferensi keamanan DEF CON 33.

Menurutnya, satu klik saja di mana pun pada situs web yang dikendalikan penyerang dapat memungkinkan penyerang mencuri data pengguna. Teknik baru ini bersifat umum dan dapat diterapkan pada jenis ekstensi lain.

Baca juga: FBI Berikan Saran Cara Mengatasi Penipuan AI

Cara Kerja Serangan Clickjacking

Clickjacking, atau UI redressing, adalah jenis serangan di mana pengguna tertipu untuk melakukan serangkaian tindakan yang tampak tidak berbahaya di sebuah situs web, seperti mengklik tombol, padahal sebenarnya mereka secara tidak sengaja melaksanakan perintah penyerang.

Teknik yang dijelaskan Tóth pada dasarnya melibatkan penggunaan skrip berbahaya untuk memanipulasi elemen UI yang disuntikkan oleh ekstensi peramban ke dalam DOM, misalnya, prompt auto-fill, dengan membuatnya tidak terlihat (transparan).

Penelitian ini secara khusus berfokus pada 11 add-on manajer kata sandi populer, mulai dari 1Password hingga iCloud Passwords. Semuanya ditemukan rentan terhadap DOM-based extension clickjacking. Secara kolektif, ekstensi ini memiliki jutaan pengguna.

Untuk melakukan serangan, penjahat siber membuat situs palsu dengan pop-up yang mengganggu, seperti layar masuk atau spanduk persetujuan cookie.

Mereka menyematkan formulir masuk yang tidak terlihat di bawah pop-up tersebut. Ketika korban mengklik situs untuk menutup pop-up, kredensial mereka secara otomatis terisi oleh manajer kata sandi dan dikirimkan ke server jarak jauh.

Tóth menjelaskan bahwa semua manajer kata sandi mengisi kredensial tidak hanya ke domain “utama”, tetapi juga ke semua subdomain. “Penyerang dapat dengan mudah menemukan kerentanan XSS atau lainnya dan mencuri kredensial yang disimpan pengguna dengan satu klik,” katanya.

Baca juga: Zero Click Backdoor RomCom Menyebar di Firefox dan Tor

Tindakan yang Harus Diambil

Beberapa vendor telah diberitahu mengenai cacat ini, tetapi pada saat artikel ini ditulis, lima vendor belum merilis perbaikan:

  • 1Password Password Manager 8.11.4.27
  • Apple iCloud Passwords 3.1.25
  • Enpass 6.11.6
  • LastPass 4.146.3
  • LogMeOnce 7.12.4

Hingga perbaikan tersedia, disarankan bagi pengguna untuk menonaktifkan fungsi auto-fill di manajer kata sandi mereka dan hanya menggunakan salin/tempel.

Untuk pengguna peramban berbasis Chromium, Tóth menyarankan untuk mengonfigurasi akses situs ke “on click” dalam pengaturan ekstensi. Konfigurasi ini memungkinkan pengguna mengontrol fungsionalitas auto-fill secara manual.

 

 

 

Baca artikel lainnya: 

  • Evolusi Serangan Phising
  • SpyLoan Kelabui Jutaan Pengguna Android
  • Operasi Malware Godloader Baru Menginfeksi 17.000 Sistem
  • Musim Liburan Sekaligus Musim Penipuan
  • Bootkitty Malware Khusus Linux
  • Lumma Stealer Racuni Windows dan macOS
  • Wolfsbane
  • Asia harus Hati-hati HATVIBE dan CHERRYSPY Datang
  • Ghost Tap Kuras Rekening dari Bank Payment

 

 

 

Sumber berita:

 

WeLiveSecurity

Post navigation

Previous Jerat Penipuan Finansial Deepfake
Next Mengatasi FOMO pada Anak di Era Digital

Related Stories

Kenali Tanda-Tanda Router Wi-Fi Anda Disusupi Hacker Kenali Tanda-Tanda Router Wi-Fi Anda Disusupi Hacker
5 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

Kenali Tanda-Tanda Router Wi-Fi Anda Disusupi Hacker

October 2, 2025
Hati-hati Aplikasi AI Palsu Sebar Malware Secara Global! Hati-hati Aplikasi AI Palsu Sebar Malware Secara Global!
3 min read
  • Mobile Security
  • Teknologi

Hati-hati Aplikasi AI Palsu Sebar Malware Secara Global!

October 1, 2025
Di Balik Godaan Cheat Gratis Roblox Di Balik Godaan Cheat Gratis Roblox
5 min read
  • Teknologi

Di Balik Godaan Cheat Gratis Roblox

September 30, 2025

Recent Posts

  • Panduan Lengkap Memblokir Website Berbahaya dan Gangguan Digital
  • Kenali Tanda-Tanda Router Wi-Fi Anda Disusupi Hacker
  • Spionase Siber Tiongkok Incar “Titik Buta” Jaringan Internasional
  • Hati-hati Aplikasi AI Palsu Sebar Malware Secara Global!
  • Di Balik Godaan Cheat Gratis Roblox
  • Serangan Phising Terfavorit 2025
  • Installer Palsu Microsoft Teams Sebar Malware Berbahaya
  • Pemerintah Asia Tenggara Korban Hacker Tiongkok
  • SpamGPT Platform Berbasis AI Merevolusi Serangan Phising
  • Alasan Kenapa Pabrik Mobil Menjadi Target Empuk Peretas

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • News Release
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Panduan Lengkap Memblokir Website Berbahaya dan Gangguan Digital Panduan Lengkap Memblokir Website Berbahaya dan Gangguan Digital
5 min read
  • Sektor Personal
  • Tips & Tricks

Panduan Lengkap Memblokir Website Berbahaya dan Gangguan Digital

October 2, 2025
Kenali Tanda-Tanda Router Wi-Fi Anda Disusupi Hacker Kenali Tanda-Tanda Router Wi-Fi Anda Disusupi Hacker
5 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

Kenali Tanda-Tanda Router Wi-Fi Anda Disusupi Hacker

October 2, 2025
Spionase Siber Tiongkok Incar “Titik Buta” Jaringan Internasional Spionase Siber Tiongkok Incar "Titik Buta" Jaringan
4 min read
  • Sektor Bisnis

Spionase Siber Tiongkok Incar “Titik Buta” Jaringan Internasional

October 1, 2025
Hati-hati Aplikasi AI Palsu Sebar Malware Secara Global! Hati-hati Aplikasi AI Palsu Sebar Malware Secara Global!
3 min read
  • Mobile Security
  • Teknologi

Hati-hati Aplikasi AI Palsu Sebar Malware Secara Global!

October 1, 2025

Copyright © All rights reserved. | DarkNews by AF themes.