近日，独立安全研究人员Marek Tóth DEF CON33黑客大会上披露了一个密码管理器普遍存在的严重漏洞。网络安全公司Socket的研究人员随后验证确认了该漏洞，并帮助通知了受影响的密码管理器供应商。

据Bleepingcomputer报道，研究人员开发了一种“点击劫持攻击”，对目前最热门的六大密码管理器1Password、Bitwarden、Enpass、iCloud Passwords、LastPass和LogMeOnce的某些版本进行测试，发现所有基于浏览器的密码管理器变体在某些情况下都可能泄露包括账号密码银行卡的敏感信息。

漏洞利用方法

主要攻击机制是在恶意或受感染的网站上运行脚本，该网站使用不透明度设置、覆盖或指针事件技巧来隐藏基于浏览器的密码管理器的自动填充下拉菜单。

然后，攻击者会覆盖虚假的攻击元素（例如cookie横幅、弹出窗口或 CAPTCHA），以便用户的点击落在隐藏的密码管理器控件上，诱使用户输入敏感信息。

Tóth演示了多种基于DOM的子类型，这些子类型构成了同一缺陷的利用变体，包括直接DOM元素不透明度操作、根元素不透明度操作、父元素不透明度操作以及部分或全部覆盖。

研究人员还演示了使用一种方法的可能性，其中UI跟随鼠标光标，因此任何用户点击，无论其位于何处，都会触发数据自动填充。

面对点击劫持攻击，主流密码管理器全军覆没，Dashlane的表现最好来源：MarekTóth

Tóth表示，可以使用通用攻击脚本来识别目标浏览器上活动的密码管理器，然后实时调整攻击。

研究人员测试了11个受欢迎程度较高的密码管理器，发现它们都至少容易受到一种攻击方法的攻击：

在Socket的协助下，所有密码管理器厂商于2025年4月收到了有关该问题的通知。

密码管理器厂商对该漏洞的响应不一，1Password否认了该报告（的严重性），将其归类为“超出范围/信息量”，并认为点击劫持是用户应该减轻的一般性安全风险。

同样，LastPass将报告标记为“信息性”，而 Bitwarden承认存在问题，但淡化了其严重性。不过，Bitwarden告诉BleepingComputer，这些问题已在本周推出的2025.8.0版本中得到修复。

目前尚不清楚LastPass和1Password是否计划解决该问题。

LogMeOnce则完全没有响应。

以下是容易收到攻击的密码管理器版本（共有约4000万用户）：

• 1Password8.11.4.27

• Bitwarden2025.7.0

• Enpass6.11.6（6.11.4.2中实施部分修复）

• iCloud密码3.1.25

• LastPass4.146.3

• LogMeOnce7.12.4

目前已经修复漏洞的供应商包（上图）括Dashlane（8月1日发布 v6.2531.1）、NordPass、ProtonPass、RoboForm和Keeper（7月发布 v17.2.0）。这些产品的用户应立即更新确保运行最新版本。

对于尚未修复漏洞的密码管理器产品，Tóth建议用户禁用密码管理器中的自动填充功能，仅使用复制/粘贴。

“免费VPN”插件被曝后台监控用户屏幕，疑似间谍工具

一款名为FreeVPN.One的热门Chrome浏览器扩展，近日被曝出在用户毫不知情的情况下，后台秘密截取屏幕并上传至远程服务器。该插件拥有“官方认证”标识，却暗藏信息窃取功能，已成为新型“合法木马”典型代表，构成大规模监控与信息泄露风险。

“认证安全插件”黑化成“后台间谍”：超10万用户恐已中招

据网络安全机构Koi Security发布的研究报告显示，这款拥有Chrome官方认证标识、超过10万用户安装量的VPN插件，早在2025年4月起便开始逐步获取敏感权限，并在7月17日悄然部署后台监控代码，绕过用户确认机制，长时间驻留用户浏览器后台执行截图与上传行为。

值得注意的是，这一行为发生在英国即将上线严格网络实名验证规则前夕，当时大量用户转向VPN以规避访问限制，FreeVPN.One不失时机打出“免费、安全、易用”的营销口号，下载量暴增。

攻击链回溯：由“功能更新”到“权限漂移”再到“数据窃取”

Koi Security对该扩展更新历史进行了时间线溯源，指出FreeVPN.One具备典型的“权限漂移-后门注入-间谍执行”三段式作案逻辑：

• 2025年4月：更新中新增“访问所有URL” 权限；

• 2025年6月：扩展版本增加脚本注入能力，伪装为“AI威胁扫描”功能更新；

• 2025年7月17日：监控功能正式激活。页面加载时自动截图，包含URL、标签页ID、唯一用户识别码等关键元数据，后台静默上传，无任何UI提示或用户授权。

值得警惕的是，虽然扩展声称“仅在用户手动点击AI扫描按钮时上传截图”，但实测显示即使用户未进行任何操作，插件仍会主动记录页面内容，包括用户的电子邮箱、在线文档、银行网站、社交平台上的活动和账号密码等。

报告指出，该插件会将截图数据上传至未知服务器，而非VPN服务器，进一步削弱了对数据流向的可控性。

数据加密掩护真实目的，隐私窃取精准精密

Koi Security报告还指出，为躲避传统流量分析工具识别，FreeVPN.One使用多层加密技术隐藏其数据传输行为：

• 截图与浏览信息先以Base64编码形式封装；

• 最新版本采用AES-256-GCM对称加密与RSA非对称密钥封装技术加密敏感数据包；

• 通信流量伪装成正常插件后台更新与功能调用行为，有效绕过大多数安全监测机制。

此外，该插件还持续采集IP地理位置、浏览器版本、操作系统、设备ID等硬件指纹信息，形成用户画像，进一步加剧隐私风险。

开发者身份模糊，责任主体难以追溯

FreeVPN.One的官方网站及Chrome Web Store页面上未提供清晰的开发者信息，仅有一个看似一次性注册的邮箱地址作为联系手段。Koi Security多次尝试联系插件开发者，其回应内容与实际行为不符：

• 开发者声称截图行为是“异常域名后台扫描”的一部分；

• 但实际监测中，截图也发生在Google Photos、Cloudflare等可信域名上；

进一步要求其提供合法公司资质、开发者账户或代码仓库信息后，对方彻底中断了沟通。

此类“黑箱式”插件已成为近年来浏览器生态系统中新的隐患来源，其“披着隐私保护外衣、执行信息窃取”的特征极具迷惑性和破坏性。

安全建议：加强插件审计与浏览器权限最小化原则

当前事件暴露出 浏览器插件生态中三大痛点：

• 插件权限管理机制宽松：平台对“全URL访问、脚本注入”等高危权限缺乏足够敏感性；

• 扩展更新缺乏溯源审计：攻击者可通过版本更新静默添加恶意功能；

• 用户对“认证徽章”的误判：Chrome“已验证”不代表“已安全审计”。

为防范类似风险，GoUpSec建议如下：

• 企业与组织内部应全面盘点员工端插件使用情况，限制非必要VPN类插件部署；

• 浏览器厂商应引入权限细化控制与行为白名单机制，提升可观察性；

• 安全团队可结合浏览器DFI分析手段，识别长期潜伏型插件威胁；

• 用户应高度警惕“评分高、下载多但未公开开发者”的插件，避免因“免费”而泄露真实信息。

结语：免费的，才是最贵的

在本质上，VPN是用户对抗信息窃取与追踪的盾牌，而FreeVPN.One却悄然将这块盾牌转化为“大规模监控和信息窃取工具”，打破了“安全工具”应有的边界感。

在这个浏览器插件泛滥、隐私边界模糊的时代，每一次点击“添加至浏览器”前，用户都应该反问自己一句：

“这个插件，真的能保护我，还是正在监控我？”

参考链接：

https://koi-security.webflow.io/blog/spyvpn-the-vpn-that-secretly-captures-your-screen

文章来源：GoUpSec