Dr. Dominik Schürmann
August 21, 2025
Analyse zu DOM-based Extension Clickjacking

Bei der DEF CON 33 wurde eine neue Angriffstechnik auf Passwortmanager vorgestellt: DOM-based Extension Clickjacking (marektoth.com, socket.dev). Wir haben die Szenarien geprüft und festgestellt:
- heylogin ist nicht anfällig bei den kritischen Angriffsszenarien.
- In einigen relevanten Fällen gibt es Schwachstellen mit niedriger Kritikalität, die wir bereits prüfen und zeitnah beheben.
- Grundsätzlich gilt: Webseiten können über unsere Browser-Erweiterung nur auf Informationen zugreifen, die ohnehin für diese Seite bestimmt sind; ein dramatisches Sicherheitsproblem sehen wir deshalb nicht.
Technische Details
- Angriffe über verwundbare Webseiten (z. B. mit XSS): Grundsätzlich gilt: Wenn eine Webseite eine XSS-Schwachstelle aufweist (Cross-Site Scripting, kurz XSS: eine Schwachstelle, die es Angreifern ermöglicht, fremde Skripte im Kontext der betroffenen Seite auszuführen), stellt dies für alle Passwort-Manager ein Risiko dar. Zudem ist ein erfolgreicher XSS-Angriff bereits eine schwerwiegende Sicherheitslücke an sich. Angreifer könnten damit direkt auf Formularinhalte zugreifen. Der Umweg über Clickjacking bietet in diesem Fall keinen zusätzlichen Vorteil.
- Angriffe über bösartige Webseiten: Für heylogin besteht hier kein Risiko, da wir Kreditkarten- und persönliche Daten aktuell nicht automatisch ausfüllen, sondern ausschließlich über den Schnellzugriff zur Verfügung stellen. Auf fremden Webseiten können diese Daten deshalb nicht abgegriffen werden.
Types
- Extension Element
- Root Element: potentielle Schwachstelle, nur in Verbindung mit XSS (niedrige Kritikalität)
- Child Element: trifft nicht auf uns zu
- Parent Element
- BODY: trifft nicht auf uns zu
- HTML: potentielle Schwachstelle, nur in Verbindung mit XSS (niedrige Kritikalität)
- Overlay
- Partial Overlay: potentielle Schwachstelle nur in Verbindung mit XSS (niedrige Kritikalität)
- Full Overlay: potentielle Schwachstelle, nur in Verbindung mit XSS (niedrige Kritikalität)
Fazit
heylogin ist nicht anfällig bei den kritischen Angriffsszenarien. In den Bereichen, wo wir betroffen sind, handelt es sich um Schwachstellen mit niedriger Kritikalität, für die wir zeitnah Fixes umsetzen.
Timeline
- 21. August 2025: Wir wurden auf die Forschung aufmerksam gemacht.
- 21. August 2025: Veröffentlichung dieses Blogposts mit unserer ersten Einschätzung.
- seit dem 21. August 2025: Wir arbeiten aktiv an Fixes für die identifizierten Schwachstellen.
Weiterführende Informationen:
- Original Research von Marek Tóth: DOM-based Extension Clickjacking
- Zusammenfassung von Socket: Password Manager Clickjacking