Cercetătorii tocmai au găsit un defect în Bitwarden, un popular manager de parole. Dacă este exploatat, bug-ul le-ar putea oferi hackerilor acces la acreditările de conectare, compromițând diverse conturi.
Defectul din Bitwarden a fost depistat Punct de aprindere, o firmă de analiză de securitate. Deși problema nu a primit prea mult - sau deloc - acoperire în trecut, se pare că Bitwarden a fost conștient de ea tot timpul. Iată cum funcționează.
Riscul potențial de securitate constă în funcția de completare automată a paginii Bitwarden. Permite cadrelor inline (iframes) să vă acceseze detaliile de conectare, iar dacă respectivele cadre iframe sunt compromise, atunci sunt și acreditările dvs. Un iframe este un element HTML care permite dezvoltatorilor să încorporeze o altă pagină web în pagina pe care vă aflați în prezent. Ele sunt adesea folosite în scopul de a încorpora reclame, videoclipuri sau analize web.
Legate de
- Aceste parole jenante le-au spart pe celebrități
- Hackerii folosesc un truc nou și amăgitor pentru a vă infecta dispozitivele
- OpenAI amenință cu un proces pentru proiectul student GPT-4, uită că îl puteți folosi gratuit
Potrivit Flashpoint, utilizarea Bitwarden cu completarea automată activată pe o pagină care conține iframe ar putea duce la furtul parolei. Acest lucru se datorează faptului că completarea automată la încărcarea paginii completează automat datele de conectare și parola dvs. atât pe pagina în care vă aflați, cât și în cadrul iframe - și asta vă expune la anumite riscuri.
Videoclipuri recomandate
În raportul său, Flashpoint a spus: „Deși iframe-ul încorporat nu are acces la niciun conținut din pagina părinte, poate Așteptați intrarea în formularul de conectare și trimiteți acreditările introduse către un server la distanță fără alte interacțiuni ale utilizatorului.”
Totuși, există un alt mod în care hackerii îți pot fura parolele. Completarea automată a Bitwarden la încărcarea paginii funcționează și pe subdomeniile domeniului pe care încercați să îl accesați, atâta timp cât datele de conectare se potrivesc. Aceasta înseamnă că, dacă dați peste o pagină de phishing, cu un subdomeniu care se potrivește cu domeniul de bază pentru care ați salvat parola, Bitwarden ar putea să-l furnizeze automat hackerului.
„Unii furnizori de găzduire de conținut permit găzduirea de conținut arbitrar sub un subdomeniu al domeniului lor oficial, care servește și pagina lor de conectare. De exemplu, dacă o companie are o pagină de conectare la https://logins.company.tld și permite utilizatorilor să difuzeze conținut sub https://
Această problemă nu va apărea pe site-uri web legitime, mari, dar serviciile de găzduire gratuite permit realizarea unor astfel de domenii. Totuși, ambele defecte au șanse destul de mici de a apărea, motiv pentru care Bitwarden nu a remediat problema, deși este conștient de aceasta. Pentru a continua să lucreze pe site-uri web care folosesc iframe, Bitwarden trebuie să lase deschisă această fereastră de oportunitate pentru posibile phishing și furt de parolă.
Merită remarcat faptul că completarea automată la încărcarea paginii este dezactivată în Bitwarden în mod implicit, iar instrumentul avertizează utilizatorii despre posibilele riscuri atunci când activează funcția. Ca răspuns la raport, Bitwarden a spus că plănuiește o actualizare care va bloca completarea automată a subdomeniilor.
Dacă nu utilizați încă un instrument precum Bitwarden, asigurați-vă că consultați ghidul nostru pentru cei mai buni manageri de parole. Bitwarden se află pe această listă și, în ciuda acestui defect de securitate, încă își merită locul - dar poate că dezactivarea completării automate la încărcarea paginii ar putea fi o idee bună pentru moment.
Recomandările editorilor
- Dacă aveți o placă de bază Gigabyte, computerul dvs. ar putea descărca pe furiș malware
- Este posibil ca hackerii să fi furat cheia principală unui alt manager de parole
- Nu, 1Password nu a fost piratată – iată ce s-a întâmplat cu adevărat
- AI vă poate sparge probabil parola în câteva secunde
- Este posibil ca capturile de ecran din Windows 11 să nu fie atât de private pe cât credeai
Îmbunătățește-ți stilul de viațăDigital Trends îi ajută pe cititori să țină cont de lumea rapidă a tehnologiei cu toate cele mai recente știri, recenzii distractive despre produse, editoriale perspicace și anticipări unice.
