חוקרים זה עתה מצאו פגם ב-Bitwarden, מנהל סיסמאות פופולרי. אם מנוצל, הבאג עלול לתת להאקרים גישה לאישורי התחברות, ולסכן חשבונות שונים.
הפגם בתוך Bitwarden זוהה על ידי נקודת רתיחה, חברת ניתוח אבטחה. למרות שהנושא לא זכה לסיקור רב - או כל - בעבר, נראה כי Bitwarden היה מודע לכך לאורך כל הדרך. ככה זה עובד.
סיכון האבטחה הפוטנציאלי טמון בתכונת המילוי האוטומטי של Bitwarden בעת טעינת העמוד. זה מאפשר למסגרות מוטבעות (iframes) לגשת לפרטי ההתחברות שלך, ואם ה-iframes הללו נפגעים, אז גם האישורים שלך. iframe הוא רכיב HTML המאפשר למפתחים להטמיע דף אינטרנט אחר בדף שבו אתה נמצא כעת. הם משמשים לעתים קרובות למטרת הטמעת מודעות, סרטונים או ניתוח אינטרנט.
קָשׁוּר
- הסיסמאות המביכות האלה גרמו לסלבריטאים לפרוץ
- האקרים משתמשים בטריק חדש וערמומי כדי להדביק את המכשירים שלך
- OpenAI מאיים בתביעה בגין פרויקט GPT-4 של סטודנט, שוכח שאתה יכול להשתמש בו בחינם
לפי Flashpoint, שימוש ב-Bitwarden עם מילוי אוטומטי מופעל בעמוד שמכיל iframes עלול לגרום לגניבת סיסמאות. הסיבה לכך היא שהמילוי האוטומטי בעת טעינת העמוד ממלא אוטומטית את פרטי הכניסה והסיסמה שלך הן בדף שבו אתה נמצא והן בתוך ה-iframe - וזה חושף אותך לסיכונים מסוימים.
סרטונים מומלצים
בדו"ח שלה, Flashpoint אמרה: "בעוד של-iframe המוטבע אין גישה לתוכן כלשהו בדף האב, הוא יכול המתן לקלט לטופס הכניסה והעביר את האישורים שהוזנו לשרת מרוחק ללא אינטראקציה נוספת של המשתמש."
עם זאת, יש דרך אחרת שהאקרים יכולים לגנוב את הסיסמאות שלך. המילוי האוטומטי של Bitwarden בעת טעינת העמוד פועל גם בתת-דומיינים של הדומיין שאליו אתה מנסה לגשת, כל עוד הכניסה תואמת. המשמעות היא שאם אתה נתקל בדף פישינג, עם תת-דומיין שתואם לדומיין הבסיסי ששמרת את הסיסמה עבורו, Bitwarden עשוי לספק אותה אוטומטית להאקר.
"חלק מספקי אירוח התוכן מאפשרים לארח תוכן שרירותי תחת תת-דומיין של הדומיין הרשמי שלהם, המשרת גם את דף ההתחברות שלהם. כדוגמה, האם לחברה יש דף התחברות בכתובת https://logins.company.tld ולאפשר למשתמשים להגיש תוכן תחת https://
בעיה זו לא תצוץ באתרים לגיטימיים וגדולים, אך שירותי אירוח בחינם מאפשרים ליצור דומיינים כאלה. ובכל זאת, לשני הפגמים יש סיכוי די קטן להתרחש, וזו הסיבה ש- Bitwarden לא תיקנה את הבעיה למרות היותה מודעת לכך. כדי להמשיך לעבוד על אתרי אינטרנט המשתמשים ב-iframes, Bitwarden חייבת להשאיר את חלון ההזדמנויות הזה פתוח להתחזות וגניבת סיסמאות אפשרית.
ראוי לציין שמילוי אוטומטי בעת טעינת עמוד מושבת ב-Bitwarden כברירת מחדל, והכלי מזהיר את המשתמשים לגבי הסיכונים האפשריים כאשר הם מפעילים את התכונה. בתגובה לדיווח, Bitwarden אמרה שהיא מתכננת עדכון שיחסום מילוי אוטומטי בתת-דומיינים.
אם אתה עדיין לא משתמש בכלי כמו Bitwarden, הקפד לבדוק את המדריך שלנו ל- מנהלי הסיסמאות הטובים ביותר. Bitwarden נמצאת ברשימה הזו, ולמרות פגם האבטחה הזה, היא עדיין ראויה למקומה - אבל אולי השבתת המילוי האוטומטי בעת טעינת העמודים עשויה להיות רעיון טוב לעת עתה.
המלצות עורכים
- אם יש לך לוח אם של Gigabyte, המחשב שלך עשוי להוריד תוכנה זדונית בגניבה
- ייתכן שהאקרים גנבו את המפתח הראשי למנהל סיסמאות אחר
- לא, 1Password לא נפרץ - הנה מה שבאמת קרה
- AI יכול כנראה לפצח את הסיסמה שלך תוך שניות
- ייתכן שצילומי המסך שלך ב-Windows 11 אינם פרטיים כפי שחשבת
שדרג את אורח החיים שלךמגמות דיגיטליות עוזרות לקוראים לעקוב אחר עולם הטכנולוגיה המהיר עם כל החדשות האחרונות, ביקורות מהנות על מוצרים, מאמרי מערכת מעוררי תובנות והצצות מיוחדות במינן.
