اكتشف الباحثون للتو ثغرة في Bitwarden ، مدير كلمات المرور الشهير. إذا تم استغلال الخطأ ، فقد يمنح المتسللين الوصول إلى بيانات اعتماد تسجيل الدخول ، مما يؤدي إلى اختراق حسابات مختلفة.
تم رصد الخلل داخل Bitwarden نقطة الوميض، شركة تحليل أمني. في حين أن المشكلة لم تتلق الكثير من التغطية - أو أي تغطية - في الماضي ، يبدو أن Bitwarden كان على علم بها طوال الوقت. وإليك كيف يعمل.
تكمن مخاطر الأمان المحتملة في ميزة الملء التلقائي لتحميل الصفحة في Bitwarden. يسمح للإطارات المضمنة (iframes) بالوصول إلى تفاصيل تسجيل الدخول الخاصة بك ، وإذا تم اختراق إطارات iframe المذكورة ، فستكون بيانات اعتمادك كذلك. iframe هو عنصر HTML يسمح للمطورين بتضمين صفحة ويب مختلفة داخل الصفحة التي تتصفحها حاليًا. غالبًا ما يتم استخدامها لغرض تضمين الإعلانات أو مقاطع الفيديو أو تحليلات الويب.
متعلق ب
- تم اختراق كلمات المرور المحرجة هذه للمشاهير
- يستخدم المتسللون خدعة جديدة مخادعة لإصابة أجهزتك
- يهدد OpenAI بدعوى قضائية بشأن مشروع GPT-4 للطالب ، وينسى أنه يمكنك استخدامه مجانًا
وفقًا لـ Flashpoint ، فإن استخدام Bitwarden مع تمكين الملء التلقائي على صفحة تحتوي على إطارات مضمنة قد يؤدي إلى سرقة كلمة المرور. وذلك لأن الملء التلقائي عند تحميل الصفحة يملأ تلقائيًا معلومات تسجيل الدخول وكلمة المرور الخاصة بك على كل من الصفحة التي تتصفحها وداخل إطار iframe - وهذا يعرضك لمخاطر معينة.
مقاطع الفيديو الموصى بها
قال Flashpoint في تقريره: "بينما لا يمتلك إطار iframe المضمن حق الوصول إلى أي محتوى في الصفحة الرئيسية ، فإنه يمكنه انتظر الإدخال إلى نموذج تسجيل الدخول وأعد توجيه بيانات الاعتماد التي تم إدخالها إلى خادم بعيد دون تدخل إضافي من المستخدم. "
هناك طريقة أخرى يمكن للقراصنة من خلالها سرقة كلمات مرورك. تعمل ميزة الملء التلقائي من Bitwarden عند تحميل الصفحة أيضًا على النطاقات الفرعية للنطاق الذي تحاول الوصول إليه ، طالما تطابق تسجيل الدخول. هذا يعني أنك إذا عثرت على صفحة تصيد بنطاق فرعي يطابق النطاق الأساسي الذي حفظت كلمة مرورك من أجله ، فقد توفر Bitwarden هذه الصفحة تلقائيًا إلى المخترق.
"يسمح بعض موفري استضافة المحتوى باستضافة محتوى تعسفي ضمن نطاق فرعي لنطاقهم الرسمي ، والذي يخدم أيضًا صفحة تسجيل الدخول الخاصة بهم. كمثال ، هل يجب أن يكون لدى الشركة صفحة تسجيل دخول على https://logins.company.tld والسماح للمستخدمين بخدمة المحتوى تحت https: //
لن تظهر هذه المشكلة في مواقع الويب الكبيرة الشرعية ، ولكن خدمات الاستضافة المجانية تسمح بإنشاء مثل هذه النطاقات. ومع ذلك ، فإن كلا العيبين لهما فرصة ضئيلة جدًا لحدوثهما ، وهذا هو السبب في أن Bitwarden لم يصلح المشكلة على الرغم من إدراكه لها. من أجل الاستمرار في العمل على مواقع الويب التي تستخدم إطارات iframe ، يتعين على Bitwarden ترك نافذة الفرصة هذه مفتوحة لاحتمال سرقة التصيد الاحتيالي وكلمة المرور.
تجدر الإشارة إلى أن الملء التلقائي عند تحميل الصفحة معطل في Bitwarden افتراضيًا ، وتحذر الأداة المستخدمين من المخاطر المحتملة عند تشغيل الميزة. رداً على التقرير ، قالت Bitwarden إنها تخطط لتحديث من شأنه حظر الملء التلقائي على النطاقات الفرعية.
إذا كنت لا تستخدم أداة مثل Bitwarden حتى الآن ، فتأكد من مراجعة دليلنا إلى أفضل مديري كلمات المرور. Bitwarden موجود في تلك القائمة ، وعلى الرغم من هذا الخلل الأمني ، فإنه لا يزال يستحق مكانه - ولكن ربما يكون تعطيل الملء التلقائي عند تحميل الصفحة فكرة جيدة في الوقت الحالي.
توصيات المحررين
- إذا كان لديك لوحة Gigabyte الأم ، فقد يقوم جهاز الكمبيوتر الخاص بك بتنزيل برامج ضارة خلسة
- ربما يكون المتسللون قد سرقوا المفتاح الرئيسي إلى مدير كلمات مرور آخر
- لا ، 1Password لم يتم اختراقه - هذا ما حدث بالفعل
- ربما يمكن لمنظمة العفو الدولية كسر كلمة المرور الخاصة بك في ثوان
- قد لا تكون لقطات شاشة Windows 11 الخاصة بك خاصة كما كنت تعتقد
ترقية نمط حياتكتساعد الاتجاهات الرقمية القراء على متابعة عالم التكنولوجيا سريع الخطى من خلال أحدث الأخبار ومراجعات المنتجات الممتعة والافتتاحيات الثاقبة والنظرات الخاطفة الفريدة من نوعها.