Οι ερευνητές μόλις βρήκαν ένα ελάττωμα στον Bitwarden, έναν δημοφιλή διαχειριστή κωδικών πρόσβασης. Εάν γίνει εκμετάλλευση, το σφάλμα θα μπορούσε να δώσει στους χάκερ πρόσβαση στα διαπιστευτήρια σύνδεσης, θέτοντας σε κίνδυνο διάφορους λογαριασμούς.
Το ελάττωμα στο Bitwarden εντοπίστηκε από Σημείο ανάφλεξης, μια εταιρεία ανάλυσης ασφάλειας. Ενώ το ζήτημα δεν έχει λάβει πολλή - ή καμία - κάλυψη στο παρελθόν, φαίνεται ότι η Bitwarden το γνώριζε από τότε. Ετσι δουλευει.
Ο πιθανός κίνδυνος ασφάλειας βρίσκεται στη δυνατότητα αυτόματης συμπλήρωσης κατά τη φόρτωση σελίδας του Bitwarden. Επιτρέπει στα ενσωματωμένα πλαίσια (iframes) να έχουν πρόσβαση στα στοιχεία σύνδεσής σας και εάν τα εν λόγω iframes παραβιάζονται, τότε το ίδιο ισχύει και για τα διαπιστευτήριά σας. Το iframe είναι ένα στοιχείο HTML που επιτρέπει στους προγραμματιστές να ενσωματώσουν μια διαφορετική ιστοσελίδα στη σελίδα στην οποία βρίσκεστε αυτήν τη στιγμή. Συχνά χρησιμοποιούνται για την ενσωμάτωση διαφημίσεων, βίντεο ή αναλυτικών στοιχείων ιστού.
Σχετίζεται με
- Αυτοί οι ενοχλητικοί κωδικοί πρόσβασης χάκαραν διασημότητες
- Οι χάκερ χρησιμοποιούν ένα ύπουλο νέο τέχνασμα για να μολύνουν τις συσκευές σας
- Το OpenAI απειλεί με αγωγή για το φοιτητικό έργο GPT-4, ξεχνάει ότι μπορείτε να το χρησιμοποιήσετε δωρεάν
Σύμφωνα με το Flashpoint, η χρήση του Bitwarden με ενεργοποιημένη την αυτόματη συμπλήρωση σε μια σελίδα που περιέχει iframes θα μπορούσε να οδηγήσει σε κλοπή κωδικού πρόσβασης. Αυτό συμβαίνει επειδή η αυτόματη συμπλήρωση κατά τη φόρτωση σελίδας συμπληρώνει αυτόματα τα στοιχεία σύνδεσης και τον κωδικό πρόσβασής σας τόσο στη σελίδα στην οποία βρίσκεστε όσο και εντός του iframe — και αυτό σας εκθέτει σε ορισμένους κινδύνους.
Προτεινόμενα βίντεο
Στην έκθεσή του, το Flashpoint είπε: «Ενώ το ενσωματωμένο iframe δεν έχει πρόσβαση σε οποιοδήποτε περιεχόμενο στη γονική σελίδα, μπορεί περιμένετε για εισαγωγή στη φόρμα σύνδεσης και προωθήστε τα εισαγόμενα διαπιστευτήρια σε έναν απομακρυσμένο διακομιστή χωρίς περαιτέρω αλληλεπίδραση με τον χρήστη."
Ωστόσο, υπάρχει ένας άλλος τρόπος με τον οποίο οι χάκερ θα μπορούσαν να κλέψουν τους κωδικούς πρόσβασής σας. Η αυτόματη συμπλήρωση του Bitwarden κατά τη φόρτωση σελίδας λειτουργεί επίσης σε υποτομείς του τομέα στον οποίο προσπαθείτε να αποκτήσετε πρόσβαση, εφόσον η σύνδεση αντιστοιχεί. Αυτό σημαίνει ότι εάν πέσει πάνω σε μια σελίδα phishing, με έναν υποτομέα που ταιριάζει με τον βασικό τομέα για τον οποίο έχετε αποθηκεύσει τον κωδικό πρόσβασής σας, η Bitwarden ενδέχεται να τον παρέχει αυτόματα στον χάκερ.
«Ορισμένοι πάροχοι φιλοξενίας περιεχομένου επιτρέπουν τη φιλοξενία αυθαίρετου περιεχομένου σε έναν υποτομέα του επίσημου τομέα τους, ο οποίος εξυπηρετεί επίσης τη σελίδα σύνδεσής τους. Για παράδειγμα, εάν μια εταιρεία έχει μια σελίδα σύνδεσης στο https://logins.company.tld και επιτρέπουν στους χρήστες να προβάλλουν περιεχόμενο κάτω από https://
Αυτό το πρόβλημα δεν θα εμφανιστεί σε νόμιμους, μεγάλους ιστότοπους, αλλά οι δωρεάν υπηρεσίες φιλοξενίας επιτρέπουν τη δημιουργία τέτοιων τομέων. Ωστόσο, και τα δύο ελαττώματα έχουν μια πολύ μικρή πιθανότητα να εμφανιστούν, γι' αυτό η Bitwarden δεν έχει επιλύσει το πρόβλημα παρά το γεγονός ότι το γνωρίζει. Για να συνεχίσει να εργάζεται σε ιστότοπους που χρησιμοποιούν iframes, η Bitwarden πρέπει να αφήσει ανοιχτό αυτό το παράθυρο ευκαιρίας για πιθανή κλοπή ηλεκτρονικού ψαρέματος και κωδικού πρόσβασης.
Αξίζει να σημειωθεί ότι η αυτόματη συμπλήρωση κατά τη φόρτωση σελίδας είναι απενεργοποιημένη στο Bitwarden από προεπιλογή και το εργαλείο προειδοποιεί τους χρήστες για τους πιθανούς κινδύνους όταν ενεργοποιούν τη λειτουργία. Σε απάντηση στην αναφορά, η Bitwarden είπε ότι σχεδιάζει μια ενημέρωση που θα αποκλείει την αυτόματη συμπλήρωση σε υποτομείς.
Εάν δεν χρησιμοποιείτε ακόμη ένα εργαλείο όπως το Bitwarden, φροντίστε να ανατρέξετε στον οδηγό μας για το καλύτεροι διαχειριστές κωδικών πρόσβασης. Το Bitwarden βρίσκεται σε αυτήν τη λίστα και παρά αυτό το ελάττωμα ασφαλείας, εξακολουθεί να αξίζει τη θέση του — αλλά ίσως η απενεργοποίηση της αυτόματης συμπλήρωσης κατά τη φόρτωση σελίδας μπορεί να είναι μια καλή ιδέα προς το παρόν.
Συστάσεις των συντακτών
- Εάν διαθέτετε μητρική κάρτα Gigabyte, ο υπολογιστής σας μπορεί να κατεβάσει κρυφά κακόβουλο λογισμικό
- Οι χάκερ μπορεί να έχουν κλέψει το κύριο κλειδί σε άλλο διαχειριστή κωδικών πρόσβασης
- Όχι, το 1Password δεν παραβιάστηκε - εδώ είναι τι πραγματικά συνέβη
- Το AI μπορεί πιθανώς να σπάσει τον κωδικό πρόσβασής σας σε δευτερόλεπτα
- Τα στιγμιότυπα οθόνης των Windows 11 μπορεί να μην είναι τόσο ιδιωτικά όσο νομίζατε
Αναβαθμίστε τον τρόπο ζωής σαςΤο Digital Trends βοηθά τους αναγνώστες να παρακολουθούν τον γρήγορο κόσμο της τεχνολογίας με όλα τα τελευταία νέα, διασκεδαστικές κριτικές προϊόντων, διορατικά editorial και μοναδικές κρυφές ματιές.
