Para peneliti baru saja menemukan kelemahan dalam Bitwarden, pengelola kata sandi yang populer. Jika dieksploitasi, bug tersebut dapat memberi peretas akses ke kredensial masuk, membahayakan berbagai akun.
Cacat dalam Bitwarden ditemukan oleh Titik nyala, sebuah perusahaan analisis keamanan. Meskipun masalah tersebut belum menerima banyak — atau apa pun — liputan di masa lalu, tampaknya Bitwarden telah menyadarinya selama ini. Begini cara kerjanya.
Potensi risiko keamanan terletak pada fitur pengisian otomatis Bitwarden pada pemuatan halaman. Ini memungkinkan bingkai sebaris (iframe) mengakses detail login Anda, dan jika iframe tersebut dikompromikan, begitu juga kredensial Anda. Iframe adalah elemen HTML yang memungkinkan pengembang untuk menyematkan halaman web yang berbeda di dalam halaman yang sedang Anda buka. Mereka sering digunakan untuk tujuan menyematkan iklan, video, atau analisis web.
Terkait
- Kata sandi yang memalukan ini membuat selebritas diretas
- Peretas menggunakan trik baru yang licik untuk menginfeksi perangkat Anda
- OpenAI mengancam gugatan atas proyek siswa GPT-4, lupa Anda dapat menggunakannya secara gratis
Menurut Flashpoint, menggunakan Bitwarden dengan pengisian otomatis diaktifkan pada halaman yang berisi iframe dapat mengakibatkan pencurian kata sandi. Ini karena pengisian otomatis pada pemuatan halaman secara otomatis mengisi login dan kata sandi Anda baik di halaman tempat Anda berada maupun di dalam iframe — dan itu membuat Anda menghadapi risiko tertentu.
Video yang Direkomendasikan
Dalam laporannya, Flashpoint mengatakan: “Meskipun iframe tersemat tidak memiliki akses ke konten apa pun di halaman induk, ia dapat tunggu input ke formulir login dan teruskan kredensial yang dimasukkan ke server jarak jauh tanpa interaksi pengguna lebih lanjut.”
Namun, ada cara lain peretas mencuri kata sandi Anda. IsiOtomatis Bitwarden pada pemuatan halaman juga berfungsi pada subdomain dari domain yang Anda coba akses, selama login cocok. Ini berarti bahwa jika Anda menemukan halaman phishing, dengan subdomain yang cocok dengan domain dasar tempat Anda menyimpan kata sandi, Bitwarden mungkin secara otomatis memberikannya kepada peretas.
“Beberapa penyedia hosting konten mengizinkan hosting konten sewenang-wenang di bawah subdomain dari domain resmi mereka, yang juga melayani halaman login mereka. Sebagai contoh, perusahaan harus memiliki halaman login di https://logins.company.tld dan memungkinkan pengguna untuk menyajikan konten di bawah https://
Masalah ini tidak akan muncul di situs web besar yang sah, tetapi layanan hosting gratis memungkinkan pembuatan domain semacam itu. Namun, kedua kelemahan tersebut memiliki peluang yang cukup kecil untuk terjadi, itulah sebabnya Bitwarden belum memperbaiki masalah tersebut meskipun menyadarinya. Untuk tetap bekerja di situs web yang menggunakan iframe, Bitwarden harus membiarkan peluang ini terbuka untuk kemungkinan phishing dan pencurian kata sandi.
Perlu dicatat bahwa pengisian otomatis pada pemuatan halaman dinonaktifkan di Bitwarden secara default, dan alat tersebut memperingatkan pengguna tentang kemungkinan risiko saat mereka mengaktifkan fitur tersebut. Menanggapi laporan tersebut, Bitwarden mengatakan sedang merencanakan pembaruan yang akan memblokir pengisian otomatis pada subdomain.
Jika Anda belum menggunakan alat seperti Bitwarden, pastikan untuk membaca panduan kami untuk pengelola kata sandi terbaik. Bitwarden ada dalam daftar itu, dan terlepas dari kelemahan keamanan ini, Bitwarden masih layak mendapat tempatnya — tetapi mungkin menonaktifkan pengisian otomatis saat memuat halaman mungkin merupakan ide yang bagus untuk saat ini.
Rekomendasi Editor
- Jika Anda memiliki motherboard Gigabyte, PC Anda mungkin mengunduh malware secara diam-diam
- Peretas mungkin telah mencuri kunci master ke pengelola kata sandi lain
- Tidak, 1Password tidak diretas – inilah yang sebenarnya terjadi
- AI mungkin dapat memecahkan kata sandi Anda dalam hitungan detik
- Tangkapan layar Windows 11 Anda mungkin tidak bersifat pribadi seperti yang Anda kira
Tingkatkan gaya hidup AndaTren Digital membantu pembaca mengawasi dunia teknologi yang bergerak cepat dengan semua berita terbaru, ulasan produk yang menyenangkan, editorial yang berwawasan, dan cuplikan unik.
