Startseite Admin-Hilfe-Center

Sicherheitshinweis: Passkey-Dialog-Clickjacking-Problem

Für alle Tarife

Sicherheitshinweis: Passkey-Dialog-Clickjacking-Problem

Printer icon
Veröffentlicht am 9. August 2025

Übersicht

Dashlane hat ein Clickjacking-Problem behoben, das unter bestimmten Bedingungen einem Angreifer hätte erlauben können, einen Benutzer dazu zu bringen, unwissentlich mit einem passkey-Login in eine legitime Domain fortzufahren.

Das Problem wurde am 28. Juli 2025 von einem externen Sicherheitsforscher an Dashlane gemeldet und am 1. August 2025 für alle Kunden in Dashlane-Version v6.2531.1 behoben.

Dashlane hat keine Berichte darüber erhalten, dass dieses Problem ausgenutzt wurde.

Betroffene Produkte

Dieses Problem betrifft alle Versionen der Dashlane Browser-Erweiterung vor v6.2531.1 (1. Aug. 2025). Die Dashlane Browser-Erweiterung v6.2531.1 verhindert, dass dieses Problem ausgenutzt werden kann.

Dashlane mobile Apps sind von diesem Problem nicht betroffen.

Empfohlene Aktionen

Wenn Sie eine betroffene Version der Dashlane Browser-Erweiterung verwenden, aktualisieren Sie auf die neueste Version.

Beschreibung

Dashlane unterstützt die Authentifizierung mit Passkeys, die es einem Benutzer ermöglichen, Passkeys in Dashlane zu speichern und sie zu verwenden, um sich bei der Drittanbieter-Domain anzumelden, die dem Passkey zugeordnet ist.

Wenn ein Benutzer eine legitime Website besuchte, für die er einen Passkey hatte und diese Domain anfällig für JavaScript-Injektionen war, könnte das Problem einem Angreifer ermöglichen, ein HTML-Seitenelement über das Dashlane-Anmelden-mit-Passkey-Pop-up-Dialogfeld zu überlagern. Wenn der Benutzer auf das Seitenelement des Angreifers klickte, würde der Benutzer unwissentlich mit einem Passkey-Login auf dieser legitimen Website fortfahren.

Die Ausnutzung dieses Problems ist komplex und erfordert, dass der Angreifer:

  1. Suchen Sie eine legitime Drittanbieter-Domain, für die ein Dashlane-Benutzer einen Passkey hatte. Passkeys sind spezifisch für einzelne Domains, und der Dashlane-Anmeldung-mit-Passkey-Pop-up-Dialog würde nur auf einer Domain erscheinen, auf der ein Passkey registriert wurde.
  2. Diese legitime Drittanbieter-Domain müsste eine JavaScript-Injection-Schwachstelle, wie XSS (Cross-Site Scripting), aufweisen, die es dem Angreifer ermöglichte, seine eigenen Seitenelemente auf der Website einzufügen.

Auswirkung

Wenn sich ein Benutzer bei der legitimen, aber anfälligen Domain anmeldete, konnte der Angreifer die Schwachstellen dieser Website ausnutzen, um unautorisierten Zugriff auf das Konto des Benutzers auf dieser Website zu erhalten. In diesem Szenario blieben die Passkeys selbst sicher und wurden nicht offenbart.

Danksagungen

Das Problem wurde Dashlane von Marek Tóth gemeldet. Wir schätzen Marek für das Aufmerksammachen auf dieses Problem und für seine Partnerschaft bei der Lösung dieses Problems.

Powered by Zendesk