Hati-Hati! Password Manager Populer Rentan Serangan Clickjacking

Pengguna layanan password manager kembali diingatkan untuk lebih waspada setelah ditemukan celah keamanan serius pada sejumlah ekstensi populer. Kerentanan ini memungkinkan penyerang mencuri kredensial akun, kode otentikasi dua faktor (2FA), hingga data kartu kredit hanya dengan satu klik di situs berbahaya.

Temuan ini diungkapkan oleh peneliti keamanan independen Marek Tóth dalam konferensi keamanan siber DEF CON 33. Ia menamakan teknik tersebut sebagai DOM-Based Extension Clickjacking, yang terbukti memengaruhi hampir semua ekstensi password manager populer yang digunakan jutaan pengguna di seluruh dunia.

 
Apa Itu Clickjacking?

Clickjacking, atau dikenal juga sebagai UI redressing, adalah teknik serangan di mana pengguna ditipu untuk melakukan tindakan tertentu tanpa sadar. Misalnya, saat seseorang menekan tombol “Tutup” pada sebuah pop-up, sebenarnya ia sedang mengaktifkan perintah berbahaya yang telah disamarkan oleh penyerang.

Dalam versi terbaru yang diteliti Tóth, teknik ini memanfaatkan Document Object Model (DOM) pada browser. Penyerang menyuntikkan elemen interface yang digunakan ekstensi password manager—misalnya fitur auto-fill login—ke dalam DOM, lalu menyamarkannya dengan menjadikan elemen itu transparan (opacity: 0). Hasilnya, pengguna mengira sedang berinteraksi dengan elemen biasa padahal mereka sebenarnya sedang mengisi data sensitif ke form buatan penyerang.

 
Password Manager yang Rentan

Dalam penelitiannya, Tóth menguji 11 ekstensi password manager populer, mulai dari 1Password hingga iCloud Passwords. Hasilnya mengejutkan: semuanya rentan terhadap teknik DOM-based extension clickjacking.

Cara kerja serangan ini relatif sederhana namun berbahaya. Penyerang cukup membuat situs palsu dengan tampilan meyakinkan, misalnya form login atau banner cookie. Di balik tampilan itu tersembunyi form login transparan. Saat pengguna mengklik tombol di situs tersebut, password manager otomatis mengisi data login ke form yang tidak terlihat, dan data itu langsung terkirim ke server penyerang.

Lebih jauh, Tóth mengungkapkan bahwa sebagian besar password manager tidak hanya mengisi data pada domain utama, tetapi juga pada seluruh subdomain. Hal ini membuka peluang bagi penyerang untuk mengeksploitasi celah lain, seperti XSS (Cross-Site Scripting), guna mencuri kredensial bahkan hanya dengan satu klik.

Dalam hasil pengujian:

• 10 dari 11 ekstensi bisa dimanfaatkan untuk mencuri kredensial login.
• 9 dari 11 ekstensi rentan pencurian kode TOTP (Time-based One-Time Password).
• 8 dari 11 ekstensi berpotensi dieksploitasi hingga level autentikasi passkey.
   

Vendor yang Belum Merilis Perbaikan

Hingga saat ini, enam vendor besar tercatat belum merilis pembaruan untuk menutup celah keamanan tersebut. Versi ekstensi yang masih rentan antara lain:

• 1Password Password Manager 8.11.4.27
• Apple iCloud Passwords 3.1.25
• Bitwarden Password Manager 2025.7.0
• Enpass 6.11.6
• LastPass 4.146.3
• LogMeOnce 7.12.4

Menurut laporan perusahaan keamanan Socket, sebagian vendor sudah menyiapkan solusi. Bitwarden, Enpass, dan iCloud Passwords sedang mengembangkan perbaikan, sedangkan 1Password dan LastPass baru menganggapnya sebagai isu informasi. Socket juga mengonfirmasi telah menghubungi US-CERT untuk meminta penomoran CVE (Common Vulnerabilities and Exposures) atas kerentanan ini.

 
Rekomendasi untuk Pengguna

Sambil menunggu patch resmi, para pengguna password manager disarankan mengambil langkah pencegahan mandiri. Beberapa rekomendasi yang diberikan antara lain:

• Nonaktifkan fitur auto-fill. Sebisa mungkin gunakan metode copy-paste untuk memasukkan kredensial.
• Gunakan kontrol akses manual. Bagi pengguna browser berbasis Chromium, atur izin akses ekstensi menjadi “on click” sehingga auto-fill hanya berjalan saat diaktifkan secara manual.
• Selalu cek URL situs. Pastikan alamat web sesuai dan bukan hasil manipulasi phishing.
• Waspada pop-up mencurigakan. Jangan sembarangan menekan tombol pada banner atau form yang tiba-tiba muncul.

Tóth menegaskan bahwa langkah-langkah ini dapat membantu pengguna terhindar dari pencurian data sebelum vendor merilis pembaruan keamanan resmi.

 
Pembaruan Terkini

Sejumlah vendor mulai bergerak cepat. Bitwarden, misalnya, telah merilis versi 2025.8.0 yang secara khusus menutup kerentanan clickjacking ini. Dalam pernyataannya, perusahaan juga mengimbau pengguna agar selalu berhati-hati terhadap upaya phishing dan memastikan hanya memasukkan data pada situs terpercaya.

 
Ancaman Serius bagi Pengguna

Kerentanan DOM-based extension clickjacking ini menyoroti fakta bahwa bahkan aplikasi keamanan populer pun tidak luput dari ancaman siber. Dengan jutaan pengguna di seluruh dunia, password manager sejatinya menjadi garda depan untuk melindungi identitas digital. Namun, temuan ini membuktikan bahwa tanpa kesadaran dan kewaspadaan pengguna, data pribadi tetap berisiko dicuri hanya dengan satu klik ceroboh.

Kasus ini menjadi pengingat penting bagi pengguna internet untuk tidak hanya mengandalkan teknologi, tetapi juga meningkatkan kewaspadaan pribadi. Mengontrol fitur auto-fill, memperhatikan URL, dan memperbarui aplikasi secara rutin adalah langkah kecil namun krusial dalam melindungi identitas digital dari tangan penjahat siber.