Istraživači su upravo pronašli nedostatak u Bitwardenu, popularnom upravitelju lozinki. Ako se iskoristi, bug bi hakerima mogao dati pristup vjerodajnicama za prijavu, kompromitirajući razne račune.
Nedostatak unutar Bitwardena uočio je Plamište, tvrtka za sigurnosnu analizu. Iako se o ovom problemu u prošlosti nije mnogo - ili nimalo - govorilo, čini se da je Bitwarden toga bio svjestan cijelo vrijeme. Evo kako to radi.
Potencijalni sigurnosni rizik leži u Bitwardenovoj značajci automatskog popunjavanja prilikom učitavanja stranice. Omogućuje ugrađenim okvirima (iframes) pristup vašim podacima za prijavu, a ako su navedeni iframeovi ugroženi, onda su i vaše vjerodajnice ugrožene. IFrame je HTML element koji programerima omogućuje da ugrade drugu web stranicu unutar stranice na kojoj se trenutno nalazite. Često se koriste u svrhu ugrađivanja oglasa, videozapisa ili web analitike.
Povezano
- Ove neugodne lozinke hakiraju slavne osobe
- Hakeri koriste novi lukavi trik kako bi zarazili vaše uređaje
- OpenAI prijeti tužbom zbog studentskog GPT-4 projekta, zaboravlja da ga možete koristiti besplatno
Prema Flashpointu, korištenje Bitwardena s omogućenim automatskim popunjavanjem na stranici koja sadrži iframe može dovesti do krađe lozinke. To je zato što automatsko popunjavanje pri učitavanju stranice automatski ispunjava vašu prijavu i lozinku na stranici na kojoj se nalazite i unutar okvira iframe — i to vas izlaže određenim rizicima.
Preporučeni videozapisi
U svom izvješću, Flashpoint je rekao: "Iako ugrađeni iframe nema pristup nikakvom sadržaju na nadređenoj stranici, može pričekajte unos u obrazac za prijavu i proslijedite unesene vjerodajnice na udaljeni poslužitelj bez daljnje interakcije korisnika.”
Međutim, postoji još jedan način na koji hakeri mogu ukrasti vaše lozinke. Bitwardenovo automatsko popunjavanje prilikom učitavanja stranice također radi na poddomenama domene kojoj pokušavate pristupiti, sve dok se prijava podudara. To znači da ako naiđete na stranicu za krađu identiteta, s poddomenom koja odgovara osnovnoj domeni za koju ste spremili lozinku, Bitwarden bi je mogao automatski dati hakeru.
“Neki pružatelji hostinga sadržaja dopuštaju hosting proizvoljnog sadržaja pod poddomenom njihove službene domene, koja također služi njihovoj stranici za prijavu. Na primjer, treba li tvrtka imati stranicu za prijavu na https://logins.company.tld i omogućiti korisnicima posluživanje sadržaja pod https://
Ovaj se problem neće pojaviti na legitimnim, velikim web stranicama, ali besplatne usluge hostinga omogućuju izradu takvih domena. Ipak, obje mane imaju prilično male šanse da se pojave, zbog čega Bitwarden nije riješio problem iako je bio svjestan toga. Kako bi nastavio raditi na web stranicama koje koriste iframeove, Bitwarden mora ostaviti otvoren ovaj prozor mogućnosti za mogući phishing i krađu lozinki.
Vrijedno je napomenuti da je automatsko popunjavanje prilikom učitavanja stranice onemogućeno u Bitwardenu prema zadanim postavkama, a alat upozorava korisnike na moguće rizike kada uključe značajku. Kao odgovor na izvješće, Bitwarden je rekao da planira ažuriranje koje će blokirati automatsko popunjavanje na poddomenama.
Ako još ne koristite alat poput Bitwardena, svakako pogledajte naš vodič za najbolji upravitelji lozinkama. Bitwarden je na tom popisu, i unatoč ovom sigurnosnom propustu, još uvijek zaslužuje svoje mjesto - ali možda bi onemogućavanje automatskog popunjavanja pri učitavanju stranice za sada mogla biti dobra ideja.
Preporuke urednika
- Ako imate Gigabyte matičnu ploču, vaše bi računalo moglo tajno preuzeti zlonamjerni softver
- Hakeri su možda ukrali glavni ključ drugog upravitelja lozinki
- Ne, 1Password nije hakiran - evo što se stvarno dogodilo
- AI vjerojatno može razbiti vašu lozinku za nekoliko sekundi
- Vaše snimke zaslona sustava Windows 11 možda nisu tako privatne kao što ste mislili
Nadogradite svoj životni stilDigitalni trendovi pomažu čitateljima da prate brzi svijet tehnologije sa svim najnovijim vijestima, zabavnim recenzijama proizvoda, pronicljivim uvodnicima i jedinstvenim brzim pregledima.
