I ricercatori hanno appena trovato un difetto all'interno di Bitwarden, un popolare gestore di password. Se sfruttato, il bug potrebbe fornire agli hacker l'accesso alle credenziali di accesso, compromettendo vari account.
Il difetto all'interno di Bitwarden è stato individuato da Punto d'infiammabilità, una società di analisi della sicurezza. Sebbene il problema non abbia ricevuto molta o nessuna copertura in passato, sembra che Bitwarden ne fosse a conoscenza da sempre. Ecco come funziona.
Il potenziale rischio per la sicurezza risiede nella funzione di riempimento automatico al caricamento della pagina di Bitwarden. Consente ai frame in linea (iframe) di accedere ai tuoi dati di accesso e, se detti iframe sono compromessi, lo sono anche le tue credenziali. Un iframe è un elemento HTML che consente agli sviluppatori di incorporare una pagina Web diversa all'interno della pagina in cui ti trovi attualmente. Sono spesso utilizzati allo scopo di incorporare annunci, video o analisi web.
Imparentato
- Queste password imbarazzanti hanno fatto hackerare le celebrità
- Gli hacker stanno usando un nuovo subdolo trucco per infettare i tuoi dispositivi
- OpenAI minaccia una causa legale per il progetto GPT-4 degli studenti, dimentica che puoi usarlo gratuitamente
Secondo Flashpoint, l'utilizzo di Bitwarden con il riempimento automatico abilitato su una pagina che contiene iframe potrebbe comportare il furto della password. Questo perché il riempimento automatico al caricamento della pagina compila automaticamente il tuo login e la tua password sia sulla pagina in cui ti trovi sia all'interno dell'iframe, e questo ti espone a determinati rischi.
Video consigliati
Nel suo rapporto, Flashpoint ha affermato: "Sebbene l'iframe incorporato non abbia accesso ad alcun contenuto nella pagina principale, può attendere l'input nel modulo di accesso e inoltrare le credenziali immesse a un server remoto senza ulteriore interazione dell'utente.
C'è un altro modo in cui gli hacker potrebbero rubare le tue password, però. Il riempimento automatico di Bitwarden al caricamento della pagina funziona anche sui sottodomini del dominio a cui stai tentando di accedere, purché il login corrisponda. Ciò significa che se ti imbatti in una pagina di phishing, con un sottodominio che corrisponde al dominio di base per cui hai salvato la tua password, Bitwarden potrebbe fornirla automaticamente all'hacker.
“Alcuni provider di hosting di contenuti consentono di ospitare contenuti arbitrari in un sottodominio del loro dominio ufficiale, che serve anche la loro pagina di accesso. Ad esempio, un'azienda dovrebbe avere una pagina di accesso su https://logins.company.tld e consentire agli utenti di servire i contenuti sotto https://
Questo problema non si presenterà su siti Web legittimi e di grandi dimensioni, ma i servizi di hosting gratuiti consentono di creare tali domini. Tuttavia, entrambi i difetti hanno una possibilità piuttosto ridotta di verificarsi, motivo per cui Bitwarden non ha risolto il problema nonostante ne fosse a conoscenza. Per continuare a lavorare su siti Web che utilizzano iframe, Bitwarden deve lasciare aperta questa finestra di opportunità per possibili phishing e furto di password.
Vale la pena notare che il riempimento automatico al caricamento della pagina è disabilitato in Bitwarden per impostazione predefinita e lo strumento avvisa gli utenti dei possibili rischi quando attivano la funzione. In risposta al rapporto, Bitwarden ha affermato che sta pianificando un aggiornamento che bloccherà il riempimento automatico dei sottodomini.
Se non stai ancora utilizzando uno strumento come Bitwarden, assicurati di consultare la nostra guida al migliori gestori di password. Bitwarden è in quella lista e, nonostante questo difetto di sicurezza, merita ancora il suo posto, ma forse disabilitare il riempimento automatico al caricamento della pagina potrebbe essere una buona idea per il momento.
Raccomandazioni della redazione
- Se hai una scheda madre Gigabyte, il tuo PC potrebbe scaricare furtivamente malware
- Gli hacker potrebbero aver rubato la chiave master a un altro gestore di password
- No, 1Password non è stato violato: ecco cosa è successo davvero
- L'intelligenza artificiale può probabilmente decifrare la tua password in pochi secondi
- I tuoi screenshot di Windows 11 potrebbero non essere privati come pensavi
Migliora il tuo stile di vitaDigital Trends aiuta i lettori a tenere d'occhio il frenetico mondo della tecnologia con tutte le ultime notizie, recensioni divertenti sui prodotti, editoriali penetranti e anticipazioni uniche.
