使用Chrome或Firefox版iCloud密码管理扩展可能导致数据泄露风险

若您在Mac或PC上使用Firefox浏览器，苹果提供的便捷扩展程序可让您直接调用iCloud密码而无需打开独立应用。但最新安全警告提示，下次使用前请三思。

据安全研究员Marek Tóth发现的新型文档对象模型漏洞，攻击者可能通过点击劫持（UI伪装攻击）窃取用户信用卡信息、个人数据和登录凭证。研究人员解释，点击劫持"指用户被诱导在看似无害的网页操作（如点击按钮）时，实际无意中执行了攻击者指令"的入侵方式。

尽管部分漏洞已修复，但1Password、LastPass和iCloud等主流密码管理器扩展仍存在风险。研究人员特别指出Firefox使用的iCloud Passwords 3.1.25版本存在缺陷，Chrome虽采用较新的3.1.27版本，但漏洞似乎仍未彻底解决。

攻击者需伪造含隐形登录表单的钓鱼网站，当用户试图关闭弹窗时，密码管理器会自动填充凭证并传输至远程服务器。这种精心设计的交互陷阱使得敏感信息在用户无意识间泄露。

今年早些时候，苹果密码应用曾曝出可能通过未加密HTTP流量拦截数据的漏洞，该问题已在iOS 18.2中修复。目前苹果正着手修复新漏洞，1Password与LastPass仍在调查中，Bitwarden则已于上周发布补丁。建议用户在使用这些扩展时务必确认访问网站的可信度。