Výzkumníci právě našli chybu v Bitwarden, oblíbeném správci hesel. Pokud by byla chyba zneužita, mohla by hackerům poskytnout přístup k přihlašovacím údajům a kompromitovat různé účty.
Chybu v Bitwardenu si všiml Bod vzplanutí, firma zabývající se bezpečnostními analýzami. I když se tomuto problému v minulosti nedostalo mnoho – nebo žádné – pokrytí, zdá se, že Bitwarden si toho byl celou dobu vědom. Zde je návod, jak to funguje.
Potenciální bezpečnostní riziko spočívá ve funkci automatického vyplňování při načítání stránky Bitwarden. Umožňuje vloženým rámcům (iframům) přístup k vašim přihlašovacím údajům, a pokud jsou tyto rámce ohroženy, pak také vaše přihlašovací údaje. Iframe je prvek HTML, který umožňuje vývojářům vložit jinou webovou stránku na stránku, na které se právě nacházíte. Často se používají pro účely vkládání reklam, videí nebo webové analýzy.
Příbuzný
- Tato trapná hesla napadla celebrity
- Hackeři používají k infikování vašich zařízení nový nevyzpytatelný trik
- OpenAI hrozí žalobou kvůli studentskému projektu GPT-4, zapomíná, že jej můžete používat zdarma
Podle Flashpoint by použití Bitwardenu s povoleným automatickým vyplňováním na stránce, která obsahuje prvky iframe, mohlo vést ke krádeži hesla. Je to proto, že automatické vyplňování při načítání stránky automaticky vyplní vaše přihlašovací jméno a heslo jak na stránce, na které se nacházíte, tak v rámci prvku iframe – a to vás vystavuje určitým rizikům.
Doporučená videa
Flashpoint ve své zprávě uvedl: „Zatímco vložený prvek iframe nemá přístup k žádnému obsahu na nadřazené stránce, může počkejte na vstup do přihlašovacího formuláře a předejte zadané přihlašovací údaje vzdálenému serveru bez další interakce uživatele.“
Existuje však další způsob, jak mohou hackeři ukrást vaše hesla. Bitwardenovo automatické vyplňování při načítání stránky funguje také na subdoménách domény, ke které se pokoušíte získat přístup, pokud se přihlašovací údaje shodují. To znamená, že pokud narazíte na phishingovou stránku se subdoménou, která odpovídá základní doméně, pro kterou jste uložili heslo, Bitwarden ji může automaticky poskytnout hackerovi.
„Někteří poskytovatelé hostingu obsahu umožňují hostování libovolného obsahu pod subdoménou jejich oficiální domény, která také slouží jejich přihlašovací stránce. Například by měla mít společnost přihlašovací stránku na adrese https://logins.company.tld a umožnit uživatelům zobrazovat obsah pod https://
Tento problém se neobjeví na legitimních, velkých webech, ale bezplatné hostingové služby umožňují vytvoření takových domén. Přesto mají obě chyby poměrně malou šanci, že se vyskytnou, a proto Bitwarden problém nevyřešil, přestože si toho byl vědom. Aby bylo možné pokračovat v práci na webových stránkách, které používají prvky iframe, musí Bitwarden ponechat toto okno příležitosti otevřené pro možný phishing a krádež hesla.
Stojí za zmínku, že automatické vyplňování při načítání stránky je v Bitwardenu ve výchozím nastavení zakázáno a nástroj varuje uživatele před možnými riziky, když tuto funkci zapnou. V reakci na zprávu Bitwarden uvedl, že plánuje aktualizaci, která zablokuje automatické vyplňování na subdoménách.
Pokud ještě nepoužíváte nástroj jako Bitwarden, podívejte se na našeho průvodce nejlepší správci hesel. Bitwarden je na tomto seznamu a navzdory této bezpečnostní chybě si stále zaslouží své místo – ale možná by byl prozatím dobrý nápad vypnout automatické vyplňování při načítání stránky.
Doporučení redakce
- Pokud máte základní desku Gigabyte, může váš počítač tajně stahovat malware
- Hackeři možná ukradli hlavní klíč jinému správci hesel
- Ne, 1Password nebyl hacknut – tady je to, co se skutečně stalo
- AI pravděpodobně dokáže prolomit vaše heslo během několika sekund
- Vaše snímky obrazovky Windows 11 nemusí být tak soukromé, jak jste si mysleli
Upgradujte svůj životní stylDigitální trendy pomáhají čtenářům mít přehled o rychle se měnícím světě technologií se všemi nejnovějšími zprávami, zábavnými recenzemi produktů, zasvěcenými úvodníky a jedinečnými náhledy.
