이 비밀번호 관리자를 사용하면 위험에 처할 수 있습니다.

연구원들은 유명한 암호 관리자인 Bitwarden에서 결함을 발견했습니다. 이 버그를 악용하면 해커가 로그인 자격 증명에 액세스하여 다양한 계정을 손상시킬 수 있습니다.

Bitwarden 내부의 결함은 인화점, 보안 분석 회사. 이 문제는 과거에 많이 또는 전혀 다루어지지 않았지만 Bitwarden은 이 문제를 계속 알고 있었던 것으로 보입니다. 작동 방식은 다음과 같습니다.

잠재적인 보안 위험은 페이지 로드 시 Bitwarden의 자동 채우기 기능에 있습니다. 이를 통해 인라인 프레임(iframe)이 로그인 세부 정보에 액세스할 수 있으며 해당 iframe이 손상되면 자격 증명도 손상됩니다. iframe은 개발자가 현재 보고 있는 페이지 내에 다른 웹페이지를 삽입할 수 있게 해주는 HTML 요소입니다. 광고, 동영상 또는 웹 분석을 삽입할 목적으로 자주 사용됩니다.

추천 동영상

보고서에서 Flashpoint는 "내장된 iframe은 상위 페이지의 콘텐츠에 액세스할 수 없지만 로그인 양식에 대한 입력을 기다렸다가 추가 사용자 상호 작용 없이 입력된 자격 증명을 원격 서버로 전달합니다.”

하지만 해커가 비밀번호를 훔칠 수 있는 또 다른 방법이 있습니다. 페이지 로드 시 Bitwarden의 자동 채우기는 로그인이 일치하는 한 액세스하려는 도메인의 하위 도메인에서도 작동합니다. 즉, 비밀번호를 저장한 기본 도메인과 일치하는 하위 도메인이 있는 피싱 페이지를 우연히 발견하면 Bitwarden이 자동으로 해당 페이지를 해커에게 제공할 수 있습니다.

“일부 콘텐츠 호스팅 공급자는 로그인 페이지도 제공하는 공식 도메인의 하위 도메인에서 임의의 콘텐츠 호스팅을 허용합니다. 예를 들어 회사에 로그인 페이지가 있는 경우 https://logins.company.tld 사용자가 https://.company.tld, 이러한 사용자는 Bitwarden 확장에서 자격 증명을 훔칠 수 있습니다.”라고 Flashpoint는 설명했습니다.

밤에 랩톱 컴퓨터에 입력하는 어두운 수수께끼의 손. — 앤드류 브룩스 / 게티 이미지

이 문제는 합법적인 대규모 웹사이트에서는 발생하지 않지만 무료 호스팅 서비스를 통해 이러한 도메인을 만들 수 있습니다. 그럼에도 불구하고 두 가지 결함 모두 발생할 가능성이 매우 적기 때문에 Bitwarden은 문제를 알고 있음에도 불구하고 문제를 해결하지 않았습니다. iframe을 사용하는 웹 사이트에서 계속 작업하기 위해 Bitwarden은 피싱 및 암호 도용 가능성에 대해 이 기회의 창을 열어 두어야 합니다.

페이지 로드 시 자동 채우기는 기본적으로 Bitwarden에서 비활성화되어 있으며 이 도구는 기능을 켤 때 발생할 수 있는 위험에 대해 사용자에게 경고합니다. 보고서에 대한 응답으로 Bitwarden은 하위 도메인에서 자동 채우기를 차단하는 업데이트를 계획하고 있다고 말했습니다.

아직 Bitwarden과 같은 도구를 사용하고 있지 않다면 다음 가이드를 확인하세요. 최고의 암호 관리자. Bitwarden이 그 목록에 있으며 이러한 보안 결함에도 불구하고 여전히 그 자리를 차지할 가치가 있습니다. 하지만 아마도 페이지 로드 시 자동 채우기를 비활성화하는 것이 당분간 좋은 생각일 수 있습니다.