A kutatók most találtak egy hibát a Bitwardenben, a népszerű jelszókezelőben. Ha kihasználják, a hiba a hackerek számára hozzáférést biztosíthat a bejelentkezési adatokhoz, és ezzel különböző fiókokat veszélyeztethet.
A Bitwarden belüli hibát észlelte Lobbanáspont, egy biztonsági elemző cég. Noha a múltban nem sok – vagy egyáltalán – szó sem esett a problémáról, úgy tűnik, hogy a Bitwarden mindvégig tisztában volt vele. Íme, hogyan működik.
A lehetséges biztonsági kockázat a Bitwarden oldalbetöltéskor automatikus kitöltési funkciójában rejlik. Lehetővé teszi, hogy a beépített keretek (iframe-ek) hozzáférjenek a bejelentkezési adataihoz, és ha az említett iframe-ek veszélybe kerülnek, akkor az Ön hitelesítő adatai is. Az iframe egy HTML-elem, amely lehetővé teszi a fejlesztők számára, hogy egy másik weboldalt ágyazzanak be azon az oldalon, amelyen éppen tartózkodik. Gyakran használják hirdetések, videók vagy internetes elemzések beágyazására.
Összefüggő
- Ezekkel a kínos jelszavakkal hírességeket törtek fel
- A hackerek egy ravasz, új trükköt használnak az eszközök megfertőzésére
- Az OpenAI perrel fenyegetőzik a diák GPT-4 projekt miatt, de elfelejti, hogy ingyen használhatja
A Flashpoint szerint a Bitwarden automatikus kitöltéssel történő használata iframe-eket tartalmazó oldalon jelszólopáshoz vezethet. Ennek az az oka, hogy az oldalbetöltéskor történő automatikus kitöltés automatikusan kitölti az Ön bejelentkezési nevét és jelszavát mind az oldalon, mind az iframe-en belül – és ez bizonyos kockázatoknak teszi ki Önt.
Ajánlott videók
Jelentésében a Flashpoint azt mondta: „Bár a beágyazott iframe nem fér hozzá semmilyen tartalomhoz a szülőoldalon, várja meg a bejelentkezési űrlap bevitelét, és további felhasználói beavatkozás nélkül továbbítsa a megadott hitelesítő adatokat egy távoli szerverre.
Van azonban egy másik módja is, hogy a hackerek ellopják a jelszavakat. A Bitwarden automatikus kitöltése oldalbetöltéskor az elérni kívánt domain aldomainjein is működik, amennyiben a bejelentkezés megegyezik. Ez azt jelenti, hogy ha olyan adathalász oldalra bukkan, amelynek aldomainje megegyezik a jelszavát elmentett alapdomainnel, akkor a Bitwarden automatikusan megadhatja azt a hackernek.
„Egyes tartalomszolgáltatók tetszőleges tartalom tárolását engedélyezik hivatalos domainjük aldomainje alatt, amely a bejelentkezési oldalukat is kiszolgálja. Példaként, kell-e egy cégnek bejelentkezési oldala a címen https://logins.company.tld és lehetővé teszi a felhasználók számára, hogy tartalmat szolgáltassanak ki https://
Ez a probléma nem fog felbukkanni legitim, nagy webhelyeken, de az ingyenes tárhelyszolgáltatások lehetővé teszik az ilyen domainek létrehozását. Ennek ellenére mindkét hibának meglehetősen kicsi az esélye, hogy előforduljon, ezért a Bitwarden nem javította ki a problémát annak ellenére, hogy tisztában volt vele. Annak érdekében, hogy továbbra is dolgozhasson az iframe-et használó webhelyeken, a Bitwardennek nyitva kell hagynia ezt a lehetőséget az adathalászat és a jelszólopás számára.
Érdemes megjegyezni, hogy az oldalbetöltéskor az automatikus kitöltés alapértelmezés szerint le van tiltva a Bitwardenben, és az eszköz figyelmezteti a felhasználókat a lehetséges kockázatokra, amikor bekapcsolják a funkciót. A jelentésre reagálva a Bitwarden közölte, hogy olyan frissítést tervez, amely blokkolja az automatikus kitöltést az aldomaineken.
Ha még nem használ olyan eszközt, mint a Bitwarden, feltétlenül tekintse meg útmutatónkat a legjobb jelszókezelők. A Bitwarden szerepel ezen a listán, és e biztonsági hiba ellenére még mindig megérdemli a helyét – de talán egyelőre jó ötlet lehet az oldalbetöltéskor az automatikus kitöltés letiltása.
Szerkesztői ajánlások
- Ha Gigabyte alaplapja van, számítógépe lopva kártékony programokat tölthet le
- A hackerek ellophatták egy másik jelszókezelő főkulcsát
- Nem, az 1Password-ot nem törték fel – ez történt valójában
- Az AI valószínűleg másodpercek alatt feltöri a jelszavát
- Előfordulhat, hogy a Windows 11 képernyőképei nem olyan privátak, mint gondolta
Frissítse életmódjátA Digital Trends segítségével az olvasók nyomon követhetik a technológia rohanó világát a legfrissebb hírekkel, szórakoztató termékismertetőkkel, éleslátó szerkesztőségekkel és egyedülálló betekintésekkel.
