このパスワード マネージャーを使用すると、危険にさらされる可能性があります

click fraud protection

研究者らは、人気のあるパスワード マネージャーである Bitwarden の欠陥を発見しました。 このバグが悪用されると、ハッカーにログイン資格情報へのアクセスが与えられ、さまざまなアカウントが侵害される可能性があります。

Bitwarden 内の欠陥を発見したのは、 引火点、セキュリティ分析会社。 この問題はこれまであまり報道されていませんでしたが、Bitwarden はずっとこの問題を認識していたようです。 その仕組みは次のとおりです。

ログイン時にパスワードとユーザー名を要求するオフィスのコンピューター。

潜在的なセキュリティ リスクは、Bitwarden のページ読み込み時の自動入力機能にあります。 これにより、インライン フレーム (iframe) がログインの詳細にアクセスできるようになり、iframe が侵害されると、資格情報も侵害されます。 iframe は、開発者が現在表示しているページ内に別の Web ページを埋め込むことができる HTML 要素です。 これらは、広告、ビデオ、または Web 分析を埋め込む目的でよく使用されます。

関連している

  • これらの恥ずかしいパスワードが有名人をハッキングした
  • ハッカーはあなたのデバイスを感染させるために悪意のある新しいトリックを使用しています
  • OpenAI、学生のGPT-4プロジェクトをめぐる訴訟を脅迫、無料で使えることを忘れている

Flashpoint によると、iframe を含むページで自動入力を有効にして Bitwarden を使用すると、パスワードが盗まれる可能性があります。 これは、ページ読み込み時の自動入力により、表示中のページと iframe 内の両方でログインとパスワードが自動的に入力され、特定のリスクにさらされるためです。

おすすめ動画

Flashpoint はレポートの中で次のように述べています。「埋め込まれた iframe は親ページのコンテンツにアクセスできませんが、 ログイン フォームへの入力を待ち、ユーザーの操作なしで入力された資格情報をリモート サーバーに転送します。」

ただし、ハッカーがパスワードを盗む別の方法もあります。 Bitwarden のページ読み込み時の自動入力は、ログインが一致する限り、アクセスしようとしているドメインのサブドメインでも機能します。 これは、パスワードを保存したベース ドメインと一致するサブドメインを持つフィッシング ページに遭遇した場合、Bitwarden がそのパスワードを自動的にハッカーに提供する可能性があることを意味します。

「一部のコンテンツ ホスティング プロバイダーは、公式ドメインのサブドメインで任意のコンテンツをホストすることを許可しており、ログイン ページも提供しています。 例として、企業にログイン ページがあるとします。 https://logins.company.tld ユーザーが以下のコンテンツを提供できるようにします https://.company.tld、これらのユーザーは Bitwarden 拡張機能から資格情報を盗むことができます」と Flashpoint は説明しました。

夜にラップトップコンピュータをタイプする暗い謎の手。
アンドリュー・ブルックス/ゲッティイメージズ

この問題は正規の大規模 Web サイトでは発生しませんが、無料のホスティング サービスを使用するとそのようなドメインを作成できます。 それでも、両方の欠陥が発生する可能性は非常に低いため、Bitwarden はこの問題を認識しているにもかかわらず、この問題を修正していません。 iframe を使用する Web サイトで作業を続けるために、Bitwarden はフィッシングやパスワード盗難の可能性を考慮して、この機会を残しておく必要があります。

Bitwarden ではページ読み込み時の自動入力がデフォルトで無効になっており、このツールは機能をオンにしたときに起こり得るリスクについてユーザーに警告します。 この報告を受けて、Bitwardenはサブドメインの自動入力をブロックするアップデートを計画していると述べた。

Bitwarden のようなツールをまだ使用していない場合は、必ずガイドを確認してください。 最高のパスワードマネージャー. Bitwarden はそのリストに含まれており、このセキュリティ上の欠陥にもかかわらず、依然としてその地位に値します。ただし、当面はページ読み込み時の自動入力を無効にするのが良い考えかもしれません。

編集者のおすすめ

  • ギガバイトのマザーボードを使用している場合、PC がこっそりとマルウェアをダウンロードする可能性があります
  • ハッカーが別のパスワード マネージャーのマスター キーを盗んだ可能性があります
  • いいえ、1Password はハッキングされませんでした – これが実際に起こったことです
  • AI はおそらく数秒でパスワードを解読できるでしょう
  • Windows 11 のスクリーンショットは思ったほどプライベートではない可能性があります

ライフスタイルをアップグレードするDigital Trends は、読者が最新ニュース、楽しい製品レビュー、洞察力に富んだ社説、ユニークなスニーク ピークをすべて提供して、ペースの速いテクノロジーの世界を監視するのに役立ちます。

カテゴリ

最近

500万件のGmailパスワードとアドレスが流出

500万件のGmailパスワードとアドレスが流出

500 万件の Gmail アカウント名とパスワードが、btcsec.com と呼ばれるビット...

Appleが新しいMac Miniを誤ってリークした可能性がある

Appleが新しいMac Miniを誤ってリークした可能性がある

このストーリーは、Apple WWDC の完全な報道の一部です。最近、Appleが発売する可能...

2014 年中期の MacBook Air SSD は動作が大幅に遅いことが新しいベンチマークで示されました

2014 年中期の MacBook Air SSD は動作が大幅に遅いことが新しいベンチマークで示されました

Apple の MacBook Air の最新バージョンがあらゆる面で改良されていると思うなら...

Privacy2024 © Tech Tips & Reviews. ALL Rights Reserved.

Tech Tips & Reviews