Los investigadores acaban de encontrar una falla en Bitwarden, un popular administrador de contraseñas. Si se explota, el error podría dar acceso a los piratas informáticos a las credenciales de inicio de sesión, poniendo en peligro varias cuentas.
La falla dentro de Bitwarden fue detectada por Punto de inflamabilidad, una firma de análisis de seguridad. Si bien el problema no ha recibido mucha, o ninguna, cobertura en el pasado, parece que Bitwarden lo sabía todo el tiempo. Así es como funciona.
El riesgo potencial de seguridad radica en la función de autocompletar al cargar la página de Bitwarden. Permite que los marcos en línea (iframes) accedan a sus datos de inicio de sesión y, si dichos iframes están comprometidos, también lo estarán sus credenciales. Un iframe es un elemento HTML que permite a los desarrolladores insertar una página web diferente dentro de la página en la que se encuentra actualmente. A menudo se utilizan con el fin de incrustar anuncios, videos o análisis web.
Relacionado
- Estas vergonzosas contraseñas hicieron que las celebridades fueran pirateadas
- Los piratas informáticos están utilizando un nuevo truco tortuoso para infectar sus dispositivos
- OpenAI amenaza con demandar por proyecto estudiantil GPT-4, olvida que puede usarlo gratis
Según Flashpoint, el uso de Bitwarden con el autocompletado habilitado en una página que contiene iframes podría provocar el robo de contraseñas. Esto se debe a que el autocompletado al cargar la página completa automáticamente su nombre de usuario y contraseña tanto en la página en la que se encuentra como dentro del iframe, y eso lo expone a ciertos riesgos.
Vídeos recomendados
En su informe, Flashpoint dijo: “Si bien el iframe incrustado no tiene acceso a ningún contenido en la página principal, puede espere la entrada al formulario de inicio de sesión y reenvíe las credenciales ingresadas a un servidor remoto sin más interacción del usuario ".
Sin embargo, hay otra forma en que los piratas informáticos podrían robar sus contraseñas. El autocompletado de Bitwarden en la carga de la página también funciona en los subdominios del dominio al que intenta acceder, siempre que el inicio de sesión coincida. Esto significa que si se topa con una página de phishing, con un subdominio que coincide con el dominio base para el que guardó su contraseña, Bitwarden podría proporcionársela automáticamente al hacker.
“Algunos proveedores de alojamiento de contenido permiten alojar contenido arbitrario bajo un subdominio de su dominio oficial, que también sirve a su página de inicio de sesión. Por ejemplo, si una empresa tiene una página de inicio de sesión en https://logins.company.tld y permitir que los usuarios sirvan contenido bajo https://
Este problema no surgirá en sitios web grandes y legítimos, pero los servicios de alojamiento gratuitos permiten crear dichos dominios. Aún así, ambas fallas tienen una probabilidad bastante pequeña de ocurrir, razón por la cual Bitwarden no ha solucionado el problema a pesar de estar al tanto. Para seguir trabajando en sitios web que usan iframes, Bitwarden tiene que dejar abierta esta ventana de oportunidad para posibles robos de contraseña y phishing.
Vale la pena señalar que el autocompletado al cargar la página está deshabilitado en Bitwarden de forma predeterminada, y la herramienta advierte a los usuarios sobre los posibles riesgos cuando activan la función. En respuesta al informe, Bitwarden ha dicho que está planeando una actualización que bloqueará el autocompletado en los subdominios.
Si aún no está utilizando una herramienta como Bitwarden, asegúrese de consultar nuestra guía para el mejores administradores de contraseñas. Bitwarden está en esa lista y, a pesar de esta falla de seguridad, aún merece su lugar, pero quizás deshabilitar el autocompletado en la carga de la página podría ser una buena idea por el momento.
Recomendaciones de los editores
- Si tiene una placa base Gigabyte, su PC podría descargar malware sigilosamente
- Los piratas informáticos pueden haber robado la clave maestra de otro administrador de contraseñas
- No, 1Password no fue pirateado: esto es lo que realmente sucedió
- La IA probablemente pueda descifrar tu contraseña en segundos
- Es posible que sus capturas de pantalla de Windows 11 no sean tan privadas como pensaba
Mejora tu estilo de vidaDigital Trends ayuda a los lectores a mantenerse al tanto del vertiginoso mundo de la tecnología con las últimas noticias, reseñas divertidas de productos, editoriales perspicaces y adelantos únicos.