Security

Pengelola Kata Sandi Ternama Rawan Bocorkan Login Lewat Serangan Clickjacking

August 21, 2025
1 minute read
Pengelola Kata Sandi Ternama Rawan Bocorkan Login Lewat Serangan Clickjacking
Pengelola Kata Sandi Ternama Rawan Bocorkan Login Lewat Serangan Clickjacking

Penelitian keamanan terbaru mengungkap bahwa beberapa pengelola kata sandi populer memiliki celah yang memungkinkan kredensial pengguna bocor melalui serangan clickjacking. Temuan ini mengkhawatirkan karena pengelola kata sandi dianggap sebagai salah satu lapisan pertahanan terpenting dalam menjaga keamanan akun digital.

Serangan Clickjacking Masih Jadi Ancaman Nyata

Clickjacking adalah teknik serangan di mana penyerang menyembunyikan elemen berbahaya di balik tampilan halaman yang sah. Dengan cara ini, pengguna dapat dikondisikan untuk mengklik sesuatu yang tampaknya tidak berbahaya—seperti tombol play atau login—padahal mereka sebenarnya memicu tindakan tersembunyi seperti memberikan izin akses, mengirimkan data, atau menyisipkan informasi ke dalam formulir.

Dalam konteks ini, para peneliti menemukan bahwa pengelola kata sandi yang berjalan sebagai ekstensi browser bisa secara otomatis mengisi kolom username dan password ke dalam formulir tersembunyi yang dirender melalui iframe, yang digunakan dalam teknik clickjacking.

Pengujian pada Pengelola Kata Sandi Populer

Beberapa pengelola kata sandi ternama yang diuji dalam penelitian ini termasuk:

  • 1Password
  • LastPass
  • Dashlane
  • Keeper
  • Bitwarden

Sebagian dari aplikasi ini terbukti mengisi otomatis kredensial login ke dalam elemen HTML tersembunyi, yang seharusnya tidak dilakukan. Hal ini membuat kredensial tersebut terekspos kepada situs pihak ketiga berbahaya yang memanipulasi tampilan halaman melalui teknik clickjacking.

Namun, tidak semua pengelola kata sandi rentan terhadap metode ini. Beberapa di antaranya telah mengimplementasikan perlindungan tambahan yang mencegah pengisian otomatis di dalam iframe atau elemen tersembunyi.

Tanggapan dan Tindakan Lanjutan

Beberapa vendor pengelola kata sandi telah diberitahu tentang temuan ini dan mulai mengambil langkah mitigasi. Perubahan tersebut mencakup:

  • Mendeteksi elemen tersembunyi sebelum melakukan autofill
  • Menonaktifkan pengisian otomatis dalam iframe
  • Menambahkan peringatan keamanan saat halaman dianggap mencurigakan

Meski demikian, sebagian lainnya masih dalam proses evaluasi, dan belum memberikan tenggat waktu perbaikan yang jelas.

Tips Keamanan untuk Pengguna

Sambil menunggu pembaruan dari penyedia layanan, pengguna dapat mengambil langkah preventif berikut:

  • Nonaktifkan autofill otomatis di pengaturan ekstensi pengelola kata sandi
  • Selalu pastikan halaman login berasal dari domain resmi
  • Hindari login melalui situs yang di-embed dalam iframe atau pop-up yang tidak dikenal
  • Gunakan autentikasi dua faktor (2FA) untuk menambah lapisan keamanan

Celah seperti ini mengingatkan bahwa bahkan alat keamanan sekalipun bisa menjadi vektor serangan jika tidak dirancang dan diaudit secara menyeluruh.

Sumber: BleepingComputer

Tags
August 21, 2025
1 minute read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button