მკვლევარებმა ახლახან აღმოაჩინეს ხარვეზი Bitwarden-ში, პაროლის პოპულარულ მენეჯერში. ექსპლუატაციის შემთხვევაში, შეცდომამ შეიძლება ჰაკერებს მისცეს წვდომა შესვლის სერთიფიკატებზე, რაც არღვევს სხვადასხვა ანგარიშებს.
Bitwarden-ში არსებული ხარვეზი შენიშნა Ციმციმაუსაფრთხოების ანალიზის ფირმა. მიუხედავად იმისა, რომ საკითხს წარსულში არ მიუღია ბევრი - ან რაიმე - გაშუქება, როგორც ჩანს, Bitwarden-მა იცოდა ამის შესახებ. აი, როგორ მუშაობს.
უსაფრთხოების პოტენციური რისკი დევს Bitwarden-ის ავტომატური შევსების გვერდის ჩატვირთვის ფუნქციაში. ის საშუალებას აძლევს inline frames (iframes) წვდომას თქვენი შესვლის დეტალებზე, და თუ აღნიშნული iframes არის კომპრომეტირებული, მაშინ ასევე იქნება თქვენი რწმუნებათა სიგელები. iframe არის HTML ელემენტი, რომელიც დეველოპერებს საშუალებას აძლევს ჩასვან სხვა ვებგვერდი იმ გვერდზე, რომელზეც ამჟამად იმყოფებით. ისინი ხშირად გამოიყენება რეკლამის, ვიდეოების ან ვებ ანალიტიკის ჩასართავად.
დაკავშირებული
- ამ უხერხულმა პაროლებმა ცნობილი სახეები გატეხეს
- ჰაკერები იყენებენ მზაკვრულ ახალ ხრიკს თქვენი მოწყობილობების დასაინფიცირებლად
- OpenAI ემუქრება სასამართლო პროცესს სტუდენტური GPT-4 პროექტის გამო, ავიწყდება, რომ შეგიძლიათ გამოიყენოთ იგი უფასოდ
Flashpoint-ის თანახმად, Bitwarden-ის გამოყენებამ ავტომატური შევსებით ჩართული გვერდზე, რომელიც შეიცავს iframes-ს, შეიძლება გამოიწვიოს პაროლის მოპარვა. ეს იმიტომ ხდება, რომ გვერდის ჩატვირთვაზე ავტომატური შევსება ავტომატურად ავსებს თქვენს ლოგინს და პაროლს როგორც იმ გვერდზე, სადაც იმყოფებით, ასევე iframe-ში – და ეს გარკვეულ რისკებს აგდებთ.
რეკომენდებული ვიდეოები
თავის მოხსენებაში Flashpoint-მა თქვა: „მიუხედავად იმისა, რომ ჩაშენებულ iframe-ს არ აქვს წვდომა რომელიმე კონტენტზე მშობლის გვერდზე, მას შეუძლია დაელოდეთ შესვლის ფორმაში შეყვანას და გადააგზავნეთ შეყვანილი რწმუნებათა სიგელები დისტანციურ სერვერზე მომხმარებლის შემდგომი ურთიერთქმედების გარეშე.”
არსებობს კიდევ ერთი გზა, რომელიც ჰაკერებს შეუძლიათ მოიპარონ თქვენი პაროლები. Bitwarden-ის ავტომატური შევსება გვერდის ჩატვირთვაზე ასევე მუშაობს იმ დომენის ქვედომენებზე, რომლებზეც წვდომას ცდილობთ, სანამ შესვლა ემთხვევა. ეს ნიშნავს, რომ თუ წააწყდებით ფიშინგის გვერდს, ქვედომენით, რომელიც ემთხვევა საბაზისო დომენს, რომელშიც შეინახეთ პაროლი, Bitwarden-მა შესაძლოა ის ავტომატურად მიაწოდოს ჰაკერს.
”ზოგიერთი კონტენტის ჰოსტინგის პროვაიდერი ნებას რთავს თვითნებური შინაარსის ჰოსტინგი მათი ოფიციალური დომენის ქვეშ, რომელიც ასევე ემსახურება მათ შესვლის გვერდს. მაგალითად, უნდა ჰქონდეს თუ არა კომპანიას შესვლის გვერდი https://logins.company.tld და მიეცით საშუალება მომხმარებლებს მოემსახურონ კონტენტის ქვეშ https://
ეს პრობლემა არ გამოჩნდება ლეგიტიმურ, დიდ ვებსაიტებზე, მაგრამ უფასო ჰოსტინგის სერვისები იძლევა ასეთი დომენების დამზადების საშუალებას. მიუხედავად ამისა, ორივე ხარვეზს აქვს საკმაოდ მცირე შანსი, რომ მოხდეს, რის გამოც Bitwarden-მა არ მოაგვარა პრობლემა, მიუხედავად იმისა, რომ იცის ამის შესახებ. იმისათვის, რომ გააგრძელოს მუშაობა ვებსაიტებზე, რომლებიც იყენებენ iframes-ს, Bitwarden-მა უნდა დატოვოს ეს შესაძლებლობა ღიად შესაძლო ფიშინგისა და პაროლის ქურდობისთვის.
აღსანიშნავია, რომ გვერდის ჩატვირთვაზე ავტომატური შევსება გამორთულია Bitwarden-ში ნაგულისხმევად და ინსტრუმენტი აფრთხილებს მომხმარებლებს შესაძლო რისკების შესახებ, როდესაც ისინი ჩართავენ ფუნქციას. მოხსენების საპასუხოდ, Bitwarden-მა თქვა, რომ გეგმავს განახლებას, რომელიც დაბლოკავს ავტომატურ შევსებას ქვედომენებზე.
თუ თქვენ ჯერ არ იყენებთ ისეთ ინსტრუმენტს, როგორიცაა Bitwarden, დარწმუნდით, რომ გაეცანით ჩვენს სახელმძღვანელოს პაროლის საუკეთესო მენეჯერები. Bitwarden არის ამ სიაში და მიუხედავად უსაფრთხოების ამ ხარვეზისა, ის მაინც იმსახურებს თავის ადგილს – მაგრამ შესაძლოა, გვერდის ჩატვირთვაზე ავტომატური შევსების გამორთვა ამ დროისთვის კარგი იდეა იყოს.
რედაქტორების რეკომენდაციები
- თუ თქვენ გაქვთ Gigabyte დედაპლატი, თქვენი კომპიუტერი შესაძლოა მალულად ჩამოტვირთოს მავნე პროგრამა
- შესაძლოა ჰაკერებმა მოიპარეს სხვა პაროლის მენეჯერის ძირითადი გასაღები
- არა, 1Password არ იყო გატეხილი - აი, რა მოხდა სინამდვილეში
- AI-ს ალბათ შეუძლია თქვენი პაროლის გატეხვა წამებში
- თქვენი Windows 11 ეკრანის ანაბეჭდები შეიძლება არ იყოს ისეთი პირადი, როგორც თქვენ ფიქრობდით
განაახლეთ თქვენი ცხოვრების წესიDigital Trends ეხმარება მკითხველს თვალყური ადევნონ ტექნოლოგიების სწრაფ სამყაროს ყველა უახლესი სიახლეებით, სახალისო პროდუქტების მიმოხილვებით, გამჭრიახი რედაქციებითა და უნიკალური თვალით.