Badacze właśnie znaleźli lukę w Bitwarden, popularnym menedżerze haseł. Jeśli zostanie wykorzystany, błąd może dać hakerom dostęp do danych logowania, narażając różne konta.
Wada w Bitwarden została zauważona przez Temperatura zapłonu, firma zajmująca się analizą bezpieczeństwa. Chociaż w przeszłości problem ten nie był szeroko omawiany – ani w ogóle – wydaje się, że Bitwarden był tego świadomy przez cały czas. Oto jak to działa.
Potencjalne zagrożenie bezpieczeństwa leży w funkcji autouzupełniania Bitwarden podczas ładowania strony. Umożliwia ramkom wbudowanym (iframe) dostęp do danych logowania, a jeśli wspomniane elementy iframe zostaną naruszone, to samo dotyczy Twoich danych uwierzytelniających. Element iframe to element HTML, który umożliwia programistom osadzenie innej strony internetowej na aktualnie przeglądanej stronie. Są często używane do osadzania reklam, filmów lub analiz internetowych.
Powiązany
- Te zawstydzające hasła zhakowały celebrytów
- Hakerzy wykorzystują nową, przebiegłą sztuczkę, aby zainfekować twoje urządzenia
- OpenAI grozi pozwem w związku z studenckim projektem GPT-4, zapominając, że można go używać za darmo
Według Flashpoint używanie Bitwarden z włączonym autouzupełnianiem na stronie zawierającej elementy iframe może spowodować kradzież hasła. Dzieje się tak, ponieważ autouzupełnianie przy ładowaniu strony automatycznie uzupełnia Twój login i hasło zarówno na stronie, na której się znajdujesz, jak iw ramce iframe — a to naraża Cię na pewne ryzyko.
Polecane filmy
W swoim raporcie Flashpoint powiedział: „Chociaż osadzona ramka iframe nie ma dostępu do żadnej treści na stronie nadrzędnej, może poczekaj na dane wejściowe w formularzu logowania i prześlij wprowadzone dane uwierzytelniające na zdalny serwer bez dalszej interakcji użytkownika”.
Jest jednak inny sposób, w jaki hakerzy mogą ukraść twoje hasła. Autouzupełnianie Bitwarden przy ładowaniu strony działa również na subdomenach domeny, do której próbujesz uzyskać dostęp, o ile login jest zgodny. Oznacza to, że jeśli natkniesz się na stronę phishingową z subdomeną pasującą do domeny podstawowej, dla której zapisałeś hasło, Bitwarden może automatycznie przekazać je hakerowi.
„Niektórzy dostawcy hostingu treści umożliwiają hostowanie dowolnych treści w subdomenie ich oficjalnej domeny, która obsługuje również ich stronę logowania. Na przykład, jeśli firma ma stronę logowania pod adresem https://logins.company.tld i zezwolić użytkownikom na udostępnianie treści pod https://
Ten problem nie pojawi się na legalnych, dużych stronach internetowych, ale darmowe usługi hostingowe pozwalają na tworzenie takich domen. Mimo to obie wady mają niewielką szansę na wystąpienie, dlatego Bitwarden nie naprawił problemu, mimo że był tego świadomy. Aby nadal pracować na stronach internetowych korzystających z ramek iframe, Bitwarden musi pozostawić to okno możliwości otwarte dla możliwego phishingu i kradzieży hasła.
Warto zauważyć, że autouzupełnianie podczas ładowania strony jest domyślnie wyłączone w Bitwarden, a narzędzie ostrzega użytkowników o możliwych zagrożeniach po włączeniu tej funkcji. W odpowiedzi na raport Bitwarden powiedział, że planuje aktualizację, która zablokuje autouzupełnianie w subdomenach.
Jeśli jeszcze nie używasz narzędzia takiego jak Bitwarden, zapoznaj się z naszym przewodnikiem po najlepsze menedżery haseł. Bitwarden znajduje się na tej liście i pomimo tej luki w zabezpieczeniach nadal zasługuje na swoje miejsce — ale być może wyłączenie autouzupełniania podczas ładowania strony może być na razie dobrym pomysłem.
Zalecenia redaktorów
- Jeśli masz płytę główną Gigabyte, Twój komputer może potajemnie pobierać złośliwe oprogramowanie
- Hakerzy mogli ukraść klucz główny do innego menedżera haseł
- Nie, 1Password nie zostało zhakowane – oto, co naprawdę się wydarzyło
- Sztuczna inteligencja może prawdopodobnie złamać twoje hasło w ciągu kilku sekund
- Twoje zrzuty ekranu systemu Windows 11 mogą nie być tak prywatne, jak myślałeś
Ulepsz swój styl życiaTrendy cyfrowe pomagają czytelnikom śledzić szybko zmieniający się świat technologii dzięki najnowszym wiadomościom, zabawnym recenzjom produktów, wnikliwym artykułom redakcyjnym i jedynym w swoim rodzaju zapowiedziom.
