Tyrėjai ką tik aptiko populiarios slaptažodžių tvarkyklės „Bitwarden“ trūkumą. Jei ši klaida bus išnaudota, įsilaužėliai gali gauti prieigą prie prisijungimo duomenų ir pakenkti įvairioms paskyroms.
„Bitwarden“ trūkumą pastebėjo Pliūpsnio taškas, saugumo analizės įmonė. Nors praeityje ši problema nebuvo plačiai nušviesta (arba iš viso), atrodo, kad Bitwarden apie tai žinojo visą laiką. Štai kaip tai veikia.
Galima saugumo rizika kyla dėl „Bitwarden“ automatinio pildymo įkeliant puslapį funkcija. Tai leidžia įterptiesiems rėmeliams (iframe) pasiekti jūsų prisijungimo duomenis, o jei minėti iframe yra pažeisti, tada ir jūsų kredencialai. Iframe yra HTML elementas, leidžiantis kūrėjams įterpti kitą tinklalapį puslapyje, kuriame šiuo metu esate. Jie dažnai naudojami įterpiant skelbimus, vaizdo įrašus ar žiniatinklio analizę.
Susijęs
- Dėl šių gėdingų slaptažodžių buvo nulaužtos įžymybės
- Įsilaužėliai naudoja gudrią naują gudrybę, kad užkrėstų jūsų įrenginius
- OpenAI grasina ieškiniu dėl studento GPT-4 projekto, pamiršta, kad galite juo naudotis nemokamai
„Flashpoint“ teigimu, naudojant „Bitwarden“ su įjungtu automatiniu pildymu puslapyje, kuriame yra „iframe“, gali būti pavogtas slaptažodis. Taip yra todėl, kad automatinis pildymas įkeliant puslapį automatiškai užpildo prisijungimo vardą ir slaptažodį ir puslapyje, kuriame esate, ir „iframe“ rėmelyje – ir tai kelia tam tikrą pavojų.
Rekomenduojami vaizdo įrašai
Savo ataskaitoje „Flashpoint“ sakė: „Nors įterptasis iframe neturi prieigos prie jokio pagrindinio puslapio turinio, jis gali palaukite įvesties į prisijungimo formą ir persiųskite įvestus kredencialus į nuotolinį serverį be tolesnio vartotojo sąveikos.
Tačiau yra ir kitas būdas, kaip įsilaužėliai gali pavogti jūsų slaptažodžius. „Bitwarden“ automatinis pildymas įkeliant puslapį taip pat veikia domeno, kurį bandote pasiekti, padomeniuose, jei prisijungimo duomenys atitinka. Tai reiškia, kad jei užklystate į sukčiavimo puslapį, kurio padomenis atitinka pagrindinį domeną, kuriam išsaugojote slaptažodį, „Bitwarden“ gali automatiškai pateikti jį įsilaužėliui.
„Kai kurie turinio prieglobos paslaugų teikėjai leidžia talpinti savavališką turinį savo oficialaus domeno subdomenyje, kuris taip pat aptarnauja jų prisijungimo puslapį. Pavyzdžiui, ar įmonė turėtų turėti prisijungimo puslapį adresu https://logins.company.tld ir leisti vartotojams teikti turinį pagal https://
Ši problema neiškils teisėtose didelėse svetainėse, tačiau nemokamos prieglobos paslaugos leidžia sukurti tokius domenus. Vis dėlto, abiejų trūkumų tikimybė yra gana maža, todėl „Bitwarden“ neišsprendė problemos, nors ir žinojo. Kad galėtų ir toliau dirbti su svetainėmis, kuriose naudojami „iframe“ elementai, „Bitwarden“ turi palikti šį langą atvirą galimam sukčiavimui ir slaptažodžių vagystei.
Verta paminėti, kad pagal numatytuosius nustatymus „Bitwarden“ automatinis pildymas įkeliant puslapį yra išjungtas, o įrankis įspėja vartotojus apie galimą riziką, kai jie įjungia funkciją. Atsakydama į pranešimą, „Bitwarden“ teigė, kad planuoja atnaujinimą, kuris blokuos automatinį subdomenų pildymą.
Jei dar nenaudojate tokio įrankio kaip „Bitwarden“, būtinai peržiūrėkite mūsų vadovą geriausi slaptažodžių tvarkytojai. „Bitwarden“ yra tame sąraše ir, nepaisant šio saugos trūkumo, jis vis tiek nusipelno savo vietos, tačiau galbūt šiuo metu būtų gera idėja išjungti automatinį pildymą įkeliant puslapį.
Redaktorių rekomendacijos
- Jei turite Gigabyte pagrindinę plokštę, jūsų kompiuteris gali slapta atsisiųsti kenkėjiškų programų
- Įsilaužėliai galėjo pavogti pagrindinį raktą į kitą slaptažodžių tvarkyklę
- Ne, 1 slaptažodis nebuvo nulaužtas – štai kas iš tikrųjų atsitiko
- AI tikriausiai gali nulaužti jūsų slaptažodį per kelias sekundes
- Jūsų „Windows 11“ ekrano kopijos gali būti ne tokios privačios, kaip manėte
Atnaujinkite savo gyvenimo būdąSkaitmeninės tendencijos padeda skaitytojams stebėti sparčiai besivystantį technologijų pasaulį – pateikiamos visos naujausios naujienos, smagios produktų apžvalgos, įžvalgūs vedamieji leidiniai ir unikalūs žvilgsniai.
