Apakah Anda termasuk jutaan orang yang mengandalkan password manager untuk menyimpan kata sandi? Jika ya, ada peringatan penting untuk Anda. Sebuah kerentanan serius baru saja ditemukan pada sejumlah ekstensi password manager populer, yang bisa membuat kredensial, kode 2FA, hingga data kartu kredit Anda dicuri semudah satu klik.
Temuan mengejutkan ini diungkapkan oleh peneliti keamanan Marek Tóth dalam konferensi siber DEF CON 33. Ia menamakan teknik ini DOM-Based Extension Clickjacking, yang secara efektif membuktikan bahwa hampir semua ekstensi password manager populer yang kita gunakan rentan terhadap serangan ini.
Apa itu Clickjacking? Dan Kenapa Versi Baru Ini Jauh Lebih Berbahaya?
Secara sederhana, Clickjacking adalah trik licik di mana penyerang menipu Anda untuk mengklik sesuatu yang sebenarnya berbeda dari yang terlihat. Contoh paling umum adalah saat Anda mengklik tombol "Tutup" pada sebuah pop-up, padahal sebenarnya Anda sedang mengaktifkan perintah berbahaya yang tersembunyi.
Nah, versi baru yang ditemukan Tóth ini memanfaatkan Document Object Model (DOM) pada peramban (browser). Penyerang menyuntikkan elemen antarmuka yang biasa digunakan ekstensi password manager (misalnya, fitur auto-fill login) ke dalam DOM, lalu membuatnya transparan atau tidak terlihat.
Saat Anda mengunjungi situs palsu yang dibuat penyerang dan mengklik tombol apa pun—misalnya tombol "Lanjutkan" atau "Saya Setuju"—tanpa sadar Anda sebenarnya sedang mengklik tombol auto-fill yang tak kasat mata. Begitu Anda mengklik, password manager Anda otomatis mengisi data sensitif ke dalam formulir palsu, dan BOOM! Data Anda langsung terkirim ke penyerang.
Hampir Semua Password Manager Terkena Dampak
Dalam penelitiannya, Tóth menguji 11 ekstensi password manager terkemuka, dan hasilnya mencengangkan: semuanya rentan.
Bayangkan, hanya dengan mengunjungi situs berbahaya yang dibuat seolah-olah situs tepercaya, password manager Anda bisa langsung menyerahkan data-data berikut:
- Kredensial login (username dan kata sandi).
- Kode autentikasi dua faktor (TOTP).
- Data kartu kredit.
- Bahkan hingga level otentikasi passkey.
Beberapa vendor besar yang ekstensinya terdeteksi masih rentan (hingga saat ini) antara lain 1Password, Apple iCloud Passwords, Bitwarden, Enpass, LastPass, dan LogMeOnce.
Langkah Cepat untuk Melindungi Diri Sekarang
Sambil menunggu perbaikan resmi dari para vendor, Anda tidak bisa berdiam diri. Berikut beberapa langkah yang bisa langsung Anda terapkan untuk melindungi diri:
- Matikan Fitur Auto-fill: Ini langkah paling penting. Daripada mengandalkan fitur isi otomatis, lebih baik Anda menggunakan metode copy-paste untuk memasukkan kredensial. Meskipun sedikit merepotkan, ini jauh lebih aman.
- Atur Izin Ekstensi: Jika Anda menggunakan peramban berbasis Chromium, ubah izin akses ekstensi password manager Anda menjadi “on click”. Dengan begitu, fitur auto-fill hanya akan aktif saat Anda mengizinkan secara manual.
- Selalu Cek Alamat Situs: Sebelum memasukkan data apa pun, pastikan URL di bilah alamat sudah benar. Jangan pernah terkecoh dengan alamat situs yang mirip-mirip (typosquatting) atau tautan dari sumber tak dikenal.
- Waspada Pop-up Aneh: Jangan sembarangan mengklik tombol pada pop-up atau banner yang tiba-tiba muncul. Teliti dulu, dan jika ragu, tutup saja jendela tersebut.
Jangan Hanya Mengandalkan Teknologi, Tingkatkan Kewaspadaan Pribadi!
Kerentanan ini menjadi pengingat tegas bahwa bahkan aplikasi keamanan yang paling canggih pun tidak luput dari ancaman siber. Password manager memang sangat membantu, tetapi tanpa kewaspadaan pribadi, data Anda tetap berisiko dicuri hanya karena satu klik yang ceroboh.
Kasus ini membuktikan bahwa perlindungan data adalah tanggung jawab kita bersama. Mengontrol fitur auto-fill, memeriksa URL, dan memperbarui aplikasi secara rutin adalah langkah kecil namun krusial yang bisa menjaga identitas digital Anda dari tangan penjahat siber.
Apakah Anda sudah mengambil langkah pencegahan ini?