Tutkijat ovat juuri löytäneet puutteen suositussa salasanojen hallinnassa Bitwardenissa. Hyödynnettynä vika voi antaa hakkereille pääsyn kirjautumistietoihin ja vaarantaa useita tilejä.
Vian Bitwardenissa huomasi Leimahduspiste, turvallisuusanalyysiyritys. Vaikka ongelma ei ole saanut paljon – tai ei ollenkaan – kattavuutta aiemmin, näyttää siltä, että Bitwarden oli tietoinen siitä koko ajan. Näin se toimii.
Mahdollinen tietoturvariski liittyy Bitwardenin automaattiseen täyttöön sivun latauksessa. Sen avulla inline-kehykset (iframe-kehykset) pääsevät kirjautumistietoihisi, ja jos mainitut iframe-kehykset ovat vaarantuneet, myös tunnistetietosi ovat vaarassa. Iframe on HTML-elementti, jonka avulla kehittäjät voivat upottaa eri verkkosivun tällä hetkellä käyttämällesi sivulle. Niitä käytetään usein mainosten, videoiden tai verkkoanalytiikan upottamiseen.
Liittyvät
- Nämä kiusalliset salasanat saivat julkkikset hakkeroitumaan
- Hakkerit käyttävät kieroa uutta temppua tartuttaakseen laitteesi
- OpenAI uhkaa oikeudenkäynnillä opiskelijan GPT-4-projektista, mutta unohtaa, että voit käyttää sitä ilmaiseksi
Flashpointin mukaan Bitwardenin käyttäminen automaattisen täytön ollessa käytössä sivulla, joka sisältää iframe-kehykset, voi johtaa salasanavarkauksiin. Tämä johtuu siitä, että automaattinen täyttö sivun latauksen yhteydessä täyttää automaattisesti kirjautumistunnuksesi ja salasanasi sekä sivulla, jolla olet, että iframe-kehyksen sisällä – ja tämä altistaa sinut tietyille riskeille.
Suositellut videot
Raportissaan Flashpoint sanoi: "Vaikka upotetulla iframe-kehyksellä ei ole pääsyä mihinkään pääsivun sisältöön, se voi odota syötettä kirjautumislomakkeeseen ja välitä syötetyt tunnistetiedot etäpalvelimelle ilman käyttäjän toimia."
On kuitenkin toinen tapa, jolla hakkerit voivat varastaa salasanasi. Bitwardenin automaattinen täyttö sivun latauksessa toimii myös sen verkkotunnuksen aliverkkotunnuksissa, jota yrität käyttää, kunhan kirjautumistunnus täsmää. Tämä tarkoittaa, että jos törmäät tietojenkalastelusivulle, jonka aliverkkotunnus vastaa perusverkkotunnusta, jolle olet tallentanut salasanasi, Bitwarden saattaa toimittaa sen automaattisesti hakkereille.
"Jotkut sisällön isännöintipalveluntarjoajat sallivat mielivaltaisen sisällön isännöinnin virallisen verkkotunnuksensa aliverkkotunnuksessa, joka palvelee myös heidän kirjautumissivuaan. Esimerkiksi, pitäisikö yrityksellä olla kirjautumissivu osoitteessa https://logins.company.tld ja salli käyttäjien tarjota sisältöä alla https://
Tämä ongelma ei esiinny laillisilla, suurilla verkkosivustoilla, mutta ilmaiset isännöintipalvelut mahdollistavat tällaisten verkkotunnusten luomisen. Silti molemmilla virheillä on melko pieni todennäköisyys ilmaantua, minkä vuoksi Bitwarden ei ole korjannut ongelmaa huolimatta siitä, että se on tietoinen siitä. Voidakseen jatkaa iframe-kehyksiä käyttävien verkkosivustojen parissa työskentelemistä Bitwardenin on jätettävä tämä mahdollisuus avoimeksi mahdolliselle tietojenkalastelulle ja salasanavarkauksille.
On syytä huomata, että automaattinen täyttö sivun latauksen yhteydessä on oletuksena poistettu käytöstä Bitwardenissa, ja työkalu varoittaa käyttäjiä mahdollisista riskeistä, kun he ottavat ominaisuuden käyttöön. Vastauksena raporttiin Bitwarden on sanonut suunnittelevansa päivitystä, joka estää automaattisen täytön aliverkkotunnuksissa.
Jos et vielä käytä Bitwardenin kaltaista työkalua, muista tutustua oppaaseemme parhaat salasanojen ylläpitäjät. Bitwarden on tällä listalla, ja tästä tietoturvavirheestä huolimatta se ansaitsee silti paikkansa - mutta ehkä automaattisen täytön poistaminen käytöstä sivun latauksen yhteydessä saattaa olla hyvä idea toistaiseksi.
Toimittajien suositukset
- Jos sinulla on Gigabyte-emolevy, tietokoneesi saattaa varastaa haittaohjelmia
- Hakkerit ovat saattaneet varastaa toisen salasananhallinnan pääavaimen
- Ei, 1Passwordia ei hakkeroitu – tässä on mitä todella tapahtui
- Tekoäly voi luultavasti murtaa salasanasi sekunneissa
- Windows 11 -kuvakaappaukset eivät ehkä ole niin yksityisiä kuin luulit
Päivitä elämäntapasiDigital Trends auttaa lukijoita pysymään tekniikan nopeatempoisessa maailmassa uusimpien uutisten, hauskojen tuotearvostelujen, oivaltavien toimitusten ja ainutlaatuisten kurkistusten avulla.
