Forskere har netop fundet en fejl i Bitwarden, en populær adgangskodemanager. Hvis den udnyttes, kan fejlen give hackere adgang til login-legitimationsoplysninger, hvilket kompromitterer forskellige konti.
Fejlen i Bitwarden blev opdaget af Flammepunkt, et sikkerhedsanalysefirma. Selvom problemet ikke har modtaget meget - eller nogen - dækning i fortiden, ser det ud til, at Bitwarden var klar over det hele tiden. Sådan fungerer det.
Den potentielle sikkerhedsrisiko ligger i Bitwardens autofyld ved sideindlæsningsfunktion. Det giver inline frames (iframes) adgang til dine loginoplysninger, og hvis nævnte iframes er kompromitteret, så er dine legitimationsoplysninger det også. En iframe er et HTML-element, der giver udviklere mulighed for at integrere en anden webside på den side, du er på i øjeblikket. De bruges ofte med det formål at integrere annoncer, videoer eller webanalyse.
Relaterede
- Disse pinlige adgangskoder fik berømtheder hacket
- Hackere bruger et snedigt nyt trick til at inficere dine enheder
- OpenAI truer med retssag over studerendes GPT-4-projekt, glemmer, at du kan bruge det gratis
Ifølge Flashpoint kan brug af Bitwarden med autofyld aktiveret på en side, der indeholder iframes, resultere i adgangskodetyveri. Dette skyldes, at autofyld ved sideindlæsning automatisk udfylder dit login og adgangskode både på den side, du er på og inden for iframen - og det udsætter dig for visse risici.
Anbefalede videoer
I sin rapport sagde Flashpoint: "Mens den indlejrede iframe ikke har adgang til noget indhold på den overordnede side, kan den vent på input til login-formularen og videresend de indtastede legitimationsoplysninger til en ekstern server uden yderligere brugerinteraktion."
Der er dog en anden måde, hackere kan stjæle dine adgangskoder på. Bitwardens autofyld ved sideindlæsning virker også på underdomæner af det domæne, du forsøger at få adgang til, så længe login matcher. Dette betyder, at hvis du falder over en phishing-side med et underdomæne, der matcher det basisdomæne, du har gemt din adgangskode til, kan Bitwarden automatisk give det til hackeren.
"Nogle indholdshostingudbydere tillader hosting af vilkårligt indhold under et underdomæne af deres officielle domæne, som også tjener deres login-side. Skal en virksomhed for eksempel have en login-side på https://logins.company.tld og tillade brugere at vise indhold under https://
Dette problem dukker ikke op på legitime, store websteder, men gratis hostingtjenester gør det muligt at lave sådanne domæner. Alligevel har begge fejl en temmelig lille chance for at opstå, hvilket er grunden til, at Bitwarden ikke har løst problemet på trods af at være klar over det. For at fortsætte med at arbejde på websteder, der bruger iframes, er Bitwarden nødt til at lade dette mulighedsvindue stå åbent for mulig phishing og adgangskodetyveri.
Det er værd at bemærke, at autofyld ved sideindlæsning er deaktiveret i Bitwarden som standard, og værktøjet advarer brugere om de mulige risici, når de slår funktionen til. Som svar på rapporten har Bitwarden sagt, at det planlægger en opdatering, der vil blokere autofyld på underdomæner.
Hvis du ikke bruger et værktøj som Bitwarden endnu, så sørg for at tjekke vores guide til bedste adgangskodeadministratorer. Bitwarden er på den liste, og på trods af denne sikkerhedsfejl fortjener den stadig sin plads - men måske kan det være en god idé at deaktivere autofyld ved sideindlæsning i øjeblikket.
Redaktørens anbefalinger
- Hvis du har et Gigabyte bundkort, kan din pc snigende downloade malware
- Hackere kan have stjålet hovednøglen til en anden adgangskodeadministrator
- Nej, 1Password blev ikke hacket - her er hvad der virkelig skete
- AI kan sandsynligvis knække din adgangskode på få sekunder
- Dine Windows 11-skærmbilleder er muligvis ikke så private, som du troede
Opgrader din livsstilDigital Trends hjælper læserne med at holde styr på den hurtige teknologiske verden med alle de seneste nyheder, sjove produktanmeldelser, indsigtsfulde redaktionelle artikler og enestående smugkig.
