Onderzoekers hebben zojuist een fout ontdekt in Bitwarden, een populaire wachtwoordbeheerder. Indien misbruikt, kan de bug hackers toegang geven tot inloggegevens, waardoor verschillende accounts in gevaar worden gebracht.
De fout binnen Bitwarden werd opgemerkt door Vlampunt, een beveiligingsanalysebedrijf. Hoewel het probleem in het verleden niet veel of geen aandacht heeft gekregen, lijkt het erop dat Bitwarden er al die tijd van op de hoogte was. Dit is hoe het werkt.
Het potentiële beveiligingsrisico ligt in de functie voor automatisch aanvullen bij het laden van pagina's van Bitwarden. Het geeft inline frames (iframes) toegang tot uw inloggegevens, en als die iframes zijn gecompromitteerd, zijn uw inloggegevens dat ook. Een iframe is een HTML-element waarmee ontwikkelaars een andere webpagina kunnen insluiten binnen de pagina waarop u zich momenteel bevindt. Ze worden vaak gebruikt om advertenties, video's of webanalyses in te sluiten.
Verwant
- Door deze gênante wachtwoorden werden beroemdheden gehackt
- Hackers gebruiken een sluwe nieuwe truc om uw apparaten te infecteren
- OpenAI dreigt met rechtszaak over studentenproject GPT-4, vergeet dat je het gratis kunt gebruiken
Volgens Flashpoint kan het gebruik van Bitwarden met automatisch aanvullen ingeschakeld op een pagina die iframes bevat, resulteren in wachtwoorddiefstal. Dit komt omdat automatisch invullen bij het laden van pagina's automatisch uw login en wachtwoord invult, zowel op de pagina waarop u zich bevindt als binnen het iframe - en dat stelt u bloot aan bepaalde risico's.
Aanbevolen video's
In zijn rapport zei Flashpoint: "Hoewel het ingesloten iframe geen toegang heeft tot enige inhoud op de bovenliggende pagina, kan het wacht op invoer in het aanmeldingsformulier en stuur de ingevoerde inloggegevens door naar een externe server zonder verdere gebruikersinteractie.
Er is echter een andere manier waarop hackers uw wachtwoorden kunnen stelen. Bitwarden's autofill bij het laden van pagina's werkt ook op subdomeinen van het domein waartoe u toegang probeert te krijgen, zolang de login overeenkomt. Dit betekent dat als je een phishing-pagina tegenkomt met een subdomein dat overeenkomt met het basisdomein waarvoor je je wachtwoord hebt opgeslagen, Bitwarden dit automatisch aan de hacker kan verstrekken.
“Sommige providers van contenthosting staan het hosten van willekeurige content toe onder een subdomein van hun officiële domein, dat ook hun inlogpagina bedient. Moet een bedrijf bijvoorbeeld een inlogpagina hebben op https://logins.company.tld en sta gebruikers toe om inhoud onder te serveren https://
Dit probleem doet zich niet voor op legitieme, grote websites, maar met gratis hostingservices kunnen dergelijke domeinen worden gemaakt. Toch hebben beide fouten een vrij kleine kans om zich voor te doen, daarom heeft Bitwarden het probleem niet opgelost, ondanks dat het hiervan op de hoogte was. Om te kunnen blijven werken aan websites die iframes gebruiken, moet Bitwarden deze kans open laten voor mogelijke phishing en wachtwoorddiefstal.
Het is vermeldenswaard dat automatisch aanvullen bij het laden van pagina's standaard is uitgeschakeld in Bitwarden en dat de tool gebruikers waarschuwt voor de mogelijke risico's wanneer ze de functie inschakelen. Als reactie op het rapport heeft Bitwarden gezegd dat het een update plant die automatisch aanvullen op subdomeinen blokkeert.
Als je nog geen tool als Bitwarden gebruikt, bekijk dan zeker onze gids voor de beste wachtwoordbeheerders. Bitwarden staat op die lijst en ondanks deze beveiligingsfout verdient het nog steeds zijn plaats - maar misschien is het voorlopig een goed idee om automatisch aanvullen bij het laden van pagina's uit te schakelen.
Aanbevelingen van de redactie
- Als u een Gigabyte-moederbord heeft, kan uw pc stiekem malware downloaden
- Hackers hebben mogelijk de hoofdsleutel van een andere wachtwoordbeheerder gestolen
- Nee, 1Password is niet gehackt - dit is wat er echt is gebeurd
- AI kan uw wachtwoord waarschijnlijk binnen enkele seconden kraken
- Uw Windows 11-schermafbeeldingen zijn misschien niet zo privé als u dacht
Upgrade je levensstijlDigital Trends helpt lezers de snelle wereld van technologie in de gaten te houden met het laatste nieuws, leuke productrecensies, verhelderende hoofdartikelen en unieke sneak peeks.
