Изследователите току-що откриха недостатък в Bitwarden, популярен мениджър на пароли. Ако бъде експлоатиран, бъгът може да даде на хакерите достъп до идентификационни данни за вход, компрометирайки различни акаунти.
Недостатъкът в Bitwarden беше забелязан от Пламна точка, фирма за анализ на сигурността. Въпреки че проблемът не е получил много - или никакво - отразяване в миналото, изглежда, че Bitwarden е бил наясно с него през цялото време. Ето как работи.
Потенциалният риск за сигурността се крие във функцията за автоматично попълване при зареждане на страницата на Bitwarden. Той позволява на вградените рамки (iframes) да имат достъп до вашите данни за вход и ако споменатите iframes са компрометирани, тогава това са и вашите идентификационни данни. Вградената рамка е HTML елемент, който позволява на разработчиците да вграждат различна уеб страница в страницата, на която се намирате в момента. Те често се използват за целите на вграждане на реклами, видеоклипове или уеб анализи.
Свързани
- Тези неудобни пароли накараха знаменитости да бъдат хакнати
- Хакерите използват коварен нов трик, за да заразят вашите устройства
- OpenAI заплашва съдебно дело за ученически GPT-4 проект, забравя, че можете да го използвате безплатно
Според Flashpoint използването на Bitwarden с активирано автоматично попълване на страница, която съдържа iframes, може да доведе до кражба на парола. Това е така, защото автоматичното попълване при зареждане на страницата автоматично попълва вашето потребителско име и парола както на страницата, на която се намирате, така и във вградената рамка – и това ви излага на определени рискове.
Препоръчани видеоклипове
В своя доклад Flashpoint каза: „Въпреки че вграденият iframe няма достъп до каквото и да е съдържание в родителската страница, той може изчакайте въвеждане във формуляра за влизане и препратете въведените идентификационни данни към отдалечен сървър без допълнително взаимодействие с потребителя.“
Има обаче друг начин, по който хакерите могат да откраднат вашите пароли. Автоматичното попълване на Bitwarden при зареждане на страница също работи на поддомейни на домейна, до който се опитвате да получите достъп, стига данните за влизане съвпадат. Това означава, че ако се натъкнете на фишинг страница с поддомейн, който съответства на основния домейн, за който сте запазили паролата си, Bitwarden може автоматично да я предостави на хакера.
„Някои доставчици на хостинг на съдържание позволяват хостване на произволно съдържание под поддомейн на техния официален домейн, който обслужва и тяхната страница за вход. Като пример, трябва ли една компания да има страница за вход в https://logins.company.tld и позволяват на потребителите да обслужват съдържание под https://
Този проблем няма да възникне на легитимни големи уебсайтове, но безплатните хостинг услуги позволяват създаването на такива домейни. Все пак и двата недостатъка имат доста малък шанс да се появят, поради което Bitwarden не е коригирал проблема, въпреки че е наясно с него. За да продължи да работи върху уебсайтове, които използват вградени рамки, Bitwarden трябва да остави този прозорец на възможност отворен за възможен фишинг и кражба на парола.
Струва си да се отбележи, че автоматичното попълване при зареждане на страница е деактивирано в Bitwarden по подразбиране и инструментът предупреждава потребителите за възможните рискове, когато включат функцията. В отговор на доклада Bitwarden каза, че планира актуализация, която ще блокира автоматичното попълване на поддомейни.
Ако все още не използвате инструмент като Bitwarden, не забравяйте да разгледате нашето ръководство за най-добрите мениджъри на пароли. Bitwarden е в този списък и въпреки този пропуск в сигурността, той все още заслужава своето място - но може би деактивирането на автоматичното попълване при зареждане на страница може да е добра идея за момента.
Препоръки на редакторите
- Ако имате дънна платка на Gigabyte, компютърът ви може да изтегли скрито зловреден софтуер
- Хакерите може да са откраднали главния ключ на друг мениджър на пароли
- Не, 1Password не е хакнат – ето какво наистина се случи
- AI вероятно може да разбие паролата ви за секунди
- Вашите екранни снимки на Windows 11 може да не са толкова частни, колкото си мислехте
Надградете начина си на животDigital Trends помага на читателите да следят забързания свят на технологиите с всички най-нови новини, забавни ревюта на продукти, проницателни редакционни статии и единствени по рода си кратки погледи.
