Os pesquisadores acabaram de encontrar uma falha no Bitwarden, um popular gerenciador de senhas. Se explorado, o bug pode dar aos hackers acesso às credenciais de login, comprometendo várias contas.
A falha dentro do Bitwarden foi detectada por Ponto de inflamação, uma empresa de análise de segurança. Embora o problema não tenha recebido muita – ou nenhuma – cobertura no passado, parece que a Bitwarden estava ciente disso o tempo todo. Veja como funciona.
O potencial risco de segurança está no preenchimento automático do Bitwarden no recurso de carregamento da página. Ele permite que quadros embutidos (iframes) acessem seus detalhes de login e, se esses iframes estiverem comprometidos, suas credenciais também estarão. Um iframe é um elemento HTML que permite aos desenvolvedores incorporar uma página da web diferente na página em que você está. Eles costumam ser usados para incorporar anúncios, vídeos ou análises da web.
Relacionado
- Essas senhas embaraçosas fizeram com que celebridades fossem hackeadas
- Os hackers estão usando um novo truque tortuoso para infectar seus dispositivos
- OpenAI ameaça processo sobre projeto estudantil GPT-4, esquece que você pode usá-lo gratuitamente
De acordo com o Flashpoint, o uso do Bitwarden com o preenchimento automático ativado em uma página que contém iframes pode resultar em roubo de senha. Isso ocorre porque o preenchimento automático no carregamento da página preenche automaticamente seu login e senha na página em que você está e dentro do iframe - e isso expõe você a certos riscos.
Vídeos recomendados
Em seu relatório, o Flashpoint disse: “Embora o iframe incorporado não tenha acesso a nenhum conteúdo na página pai, ele pode aguarde a entrada no formulário de login e encaminhe as credenciais inseridas para um servidor remoto sem mais interação do usuário.”
Há outra maneira de os hackers roubarem suas senhas. O preenchimento automático do Bitwarden no carregamento da página também funciona em subdomínios do domínio que você está tentando acessar, desde que o login corresponda. Isso significa que, se você se deparar com uma página de phishing, com um subdomínio que corresponda ao domínio base para o qual você salvou sua senha, a Bitwarden pode fornecê-la automaticamente ao hacker.
“Alguns provedores de hospedagem de conteúdo permitem hospedar conteúdo arbitrário em um subdomínio de seu domínio oficial, que também serve sua página de login. Por exemplo, se uma empresa tiver uma página de login em https://logins.company.tld e permitir que os usuários forneçam conteúdo sob https://
Esse problema não surgirá em sites grandes e legítimos, mas os serviços de hospedagem gratuitos permitem que esses domínios sejam criados. Ainda assim, ambas as falhas têm uma chance muito pequena de ocorrer, e é por isso que a Bitwarden não corrigiu o problema, apesar de estar ciente disso. Para continuar trabalhando em sites que usam iframes, a Bitwarden precisa deixar essa janela de oportunidade aberta para possíveis phishing e roubo de senha.
Vale a pena notar que o preenchimento automático no carregamento da página está desabilitado no Bitwarden por padrão, e a ferramenta alerta os usuários sobre os possíveis riscos ao ativar o recurso. Em resposta ao relatório, a Bitwarden disse que está planejando uma atualização que bloqueará o preenchimento automático em subdomínios.
Se você ainda não estiver usando uma ferramenta como o Bitwarden, verifique nosso guia para o melhores gerenciadores de senhas. Bitwarden está nessa lista e, apesar dessa falha de segurança, ainda merece seu lugar - mas talvez desabilitar o preenchimento automático no carregamento da página seja uma boa ideia por enquanto.
Recomendações dos editores
- Se você tiver uma placa-mãe Gigabyte, seu PC pode baixar malware furtivamente
- Hackers podem ter roubado a chave mestra de outro gerenciador de senhas
- Não, o 1Password não foi hackeado – aqui está o que realmente aconteceu
- AI provavelmente pode quebrar sua senha em segundos
- Suas capturas de tela do Windows 11 podem não ser tão privadas quanto você pensava
Atualize seu estilo de vidaO Digital Trends ajuda os leitores a acompanhar o mundo acelerado da tecnologia com as últimas notícias, análises divertidas de produtos, editoriais perspicazes e prévias exclusivas.
