Teadlased leidsid just populaarses paroolihalduris Bitwardenis vea. Kui seda viga kasutatakse, võib see anda häkkeritele juurdepääsu sisselogimismandaatidele, ohustades erinevaid kontosid.
Bitwardeni viga märkas Leekpunkt, turvaanalüüsi ettevõte. Kuigi probleem pole varem palju või üldse mitte käsitletud, näib, et Bitwarden oli sellest kogu aeg teadlik. See toimib järgmiselt.
Võimalik turvarisk peitub Bitwardeni lehe laadimise automaatse täitmise funktsioonis. See võimaldab sisestel raamidel (iframe'idel) pääseda juurde teie sisselogimisandmetele ja kui nimetatud iframe'id on ohus, siis on ka teie mandaadid. Iframe on HTML-i element, mis võimaldab arendajatel manustada teie praegu avatud lehele teistsuguse veebilehe. Neid kasutatakse sageli reklaamide, videote või veebianalüütika manustamiseks.
Seotud
- Need piinlikud paroolid häkkisid kuulsused
- Häkkerid kasutavad teie seadmete nakatamiseks uut kavalat nippi
- OpenAI ähvardab üliõpilaste GPT-4 projekti üle kohtuasja, unustades, et saate seda tasuta kasutada
Flashpointi andmetel võib automaatse täitmisega Bitwardeni kasutamine iframe sisaldaval lehel kaasa tuua paroolivarguse. Selle põhjuseks on asjaolu, et lehe laadimisel automaatne täitmine täidab automaatselt teie sisselogimise ja parooli nii lehel, kus viibite, kui ka iframe'is – ja see seab teid teatud riskidele.
Soovitatavad videod
Flashpoint ütles oma aruandes: "Kuigi manustatud iframe'il pole juurdepääsu ühelegi emalehe sisule, saab see oodake sisselogimisvormi sisendit ja edastage sisestatud mandaadid kaugserverisse ilma kasutaja täiendava sekkumiseta.
On veel üks viis, kuidas häkkerid teie paroole varastada võivad. Bitwardeni automaatne täitmine lehe laadimisel töötab ka selle domeeni alamdomeenidel, millele proovite juurde pääseda, kui sisselogimine ühtib. See tähendab, et kui satute andmepüügilehele, mille alamdomeen vastab baasdomeenile, mille jaoks olete oma parooli salvestanud, võib Bitwarden selle häkkerile automaatselt edastada.
"Mõned sisumajutusteenuse pakkujad lubavad oma ametliku domeeni alamdomeeni alla majutada suvalist sisu, mis teenindab ka nende sisselogimislehte. Näiteks, kas ettevõttel peaks olema sisselogimisleht aadressil https://logins.company.tld ja võimaldab kasutajatel sisu esitada https://
See probleem ei ilmne seaduslikel suurtel veebisaitidel, kuid tasuta hostimisteenused võimaldavad selliseid domeene luua. Siiski on mõlema vea esinemise tõenäosus üsna väike, mistõttu pole Bitwarden probleemi lahendanud, hoolimata sellest, et ta on sellest teadlik. Et jätkata tööd iframe'e kasutavate veebisaitidega, peab Bitwarden jätma selle võimaluse võimaliku andmepüügi ja paroolivarguse jaoks avatuks.
Väärib märkimist, et lehe laadimise automaatne täitmine on Bitwardenis vaikimisi keelatud ja tööriist hoiatab kasutajaid funktsiooni sisselülitamisel võimalike riskide eest. Vastuseks aruandele on Bitwarden öelnud, et plaanib värskendust, mis blokeerib alamdomeenide automaatse täitmise.
Kui te ei kasuta veel sellist tööriista nagu Bitwarden, lugege kindlasti meie juhendit selle kohta parimad paroolihaldurid. Bitwarden on selles loendis ja hoolimata sellest turvaveast väärib see siiski oma kohta, kuid võib-olla võib lehe laadimisel automaatse täitmise keelamine olla praegu hea mõte.
Toimetajate soovitused
- Kui teil on Gigabyte'i emaplaat, võib teie arvuti pahavara vargsi alla laadida
- Häkkerid võisid varastada teise paroolihalduri peavõtme
- Ei, 1 parooli ei häkitud – siin on see, mis tegelikult juhtus
- Tõenäoliselt suudab AI teie parooli mõne sekundiga lahti murda
- Teie Windows 11 ekraanipildid ei pruugi olla nii privaatsed, kui arvasite
Uuendage oma elustiiliDigitaalsed suundumused aitavad lugejatel hoida silma peal kiirel tehnikamaailmal kõigi viimaste uudiste, lõbusate tooteülevaadete, sisukate juhtkirjade ja ainulaadsete lühiülevaadetega.
