Forscher haben gerade einen Fehler in Bitwarden, einem beliebten Passwort-Manager, entdeckt. Wenn der Fehler ausgenutzt wird, könnte er Hackern Zugriff auf Anmeldeinformationen verschaffen und so verschiedene Konten kompromittieren.
Der Fehler in Bitwarden wurde von entdeckt Flammpunkt, ein Sicherheitsanalyseunternehmen. Obwohl das Problem in der Vergangenheit kaum oder gar nicht thematisiert wurde, scheint es, dass Bitwarden sich dessen schon immer bewusst war. So funktioniert das.
Das potenzielle Sicherheitsrisiko liegt in der Funktion zum automatischen Ausfüllen beim Laden der Seite von Bitwarden. Es ermöglicht Inline-Frames (Iframes) den Zugriff auf Ihre Anmeldedaten. Wenn diese Iframes gefährdet sind, gilt dies auch für Ihre Anmeldedaten. Ein Iframe ist ein HTML-Element, das es Entwicklern ermöglicht, eine andere Webseite in die Seite einzubetten, auf der Sie sich gerade befinden. Sie werden häufig zum Einbetten von Anzeigen, Videos oder Webanalysen verwendet.
Verwandt
- Diese peinlichen Passwörter führten dazu, dass Prominente gehackt wurden
- Hacker nutzen einen raffinierten neuen Trick, um Ihre Geräte zu infizieren
- OpenAI droht mit Klage wegen studentischem GPT-4-Projekt und vergisst, dass Sie es kostenlos nutzen können
Laut Flashpoint könnte die Verwendung von Bitwarden mit aktiviertem Autofill auf einer Seite, die Iframes enthält, zu Passwortdiebstahl führen. Dies liegt daran, dass beim automatischen Ausfüllen der Seite automatisch Ihr Login und Ihr Passwort sowohl auf der Seite, auf der Sie sich befinden, als auch im Iframe ausgefüllt werden – und das setzt Sie bestimmten Risiken aus.
Empfohlene Videos
In seinem Bericht sagte Flashpoint: „Der eingebettete Iframe hat zwar keinen Zugriff auf Inhalte auf der übergeordneten Seite, kann es aber.“ Warten Sie auf die Eingabe in das Anmeldeformular und leiten Sie die eingegebenen Anmeldeinformationen ohne weitere Benutzerinteraktion an einen Remote-Server weiter.“
Es gibt jedoch noch eine andere Möglichkeit, wie Hacker Ihre Passwörter stehlen könnten. Das automatische Ausfüllen beim Laden der Seite von Bitwarden funktioniert auch auf Subdomains der Domain, auf die Sie zugreifen möchten, sofern die Anmeldedaten übereinstimmen. Das heißt, wenn Sie auf eine Phishing-Seite stoßen, deren Subdomain mit der Basisdomain übereinstimmt, für die Sie Ihr Passwort gespeichert haben, stellt Bitwarden diese möglicherweise automatisch dem Hacker zur Verfügung.
„Einige Content-Hosting-Anbieter erlauben das Hosten beliebiger Inhalte unter einer Subdomain ihrer offiziellen Domain, die auch ihre Anmeldeseite bedient. Sollte ein Unternehmen beispielsweise eine Anmeldeseite unter haben? https://logins.company.tld und Benutzern die Bereitstellung von Inhalten unter ermöglichen https://
Dieses Problem tritt auf seriösen, großen Websites nicht auf, aber kostenlose Hosting-Dienste ermöglichen die Erstellung solcher Domains. Dennoch ist die Wahrscheinlichkeit, dass beide Fehler auftreten, recht gering, weshalb Bitwarden das Problem nicht behoben hat, obwohl es ihm bewusst war. Um weiterhin an Websites zu arbeiten, die Iframes verwenden, muss Bitwarden dieses Zeitfenster für mögliches Phishing und Passwortdiebstahl offen lassen.
Es ist erwähnenswert, dass das automatische Ausfüllen beim Laden der Seite in Bitwarden standardmäßig deaktiviert ist und das Tool Benutzer vor den möglichen Risiken warnt, wenn sie die Funktion aktivieren. Als Reaktion auf den Bericht sagte Bitwarden, dass es ein Update plant, das das automatische Ausfüllen von Subdomains blockiert.
Wenn Sie noch kein Tool wie Bitwarden verwenden, lesen Sie unbedingt unseren Leitfaden dazu beste Passwort-Manager. Bitwarden steht auf dieser Liste und hat trotz dieser Sicherheitslücke immer noch seinen Platz verdient – aber vielleicht wäre es vorerst eine gute Idee, das automatische Ausfüllen beim Laden der Seite zu deaktivieren.
Empfehlungen der Redaktion
- Wenn Sie ein Gigabyte-Motherboard besitzen, kann es sein, dass Ihr PC heimlich Malware herunterlädt
- Hacker haben möglicherweise den Hauptschlüssel eines anderen Passwort-Managers gestohlen
- Nein, 1Password wurde nicht gehackt – hier ist, was wirklich passiert ist
- KI kann Ihr Passwort wahrscheinlich in Sekundenschnelle knacken
- Ihre Windows 11-Screenshots sind möglicherweise nicht so privat, wie Sie dachten
Werten Sie Ihren Lebensstil aufDigital Trends hilft Lesern mit den neuesten Nachrichten, unterhaltsamen Produktrezensionen, aufschlussreichen Leitartikeln und einzigartigen Einblicken, den Überblick über die schnelllebige Welt der Technik zu behalten.
