Исследователи только что обнаружили брешь в Bitwarden, популярном менеджере паролей. В случае использования ошибка может дать хакерам доступ к учетным данным для входа в систему, скомпрометировав различные учетные записи.
Недостаток в Bitwarden был обнаружен Точка возгорания, фирма по анализу безопасности. Хотя в прошлом эта проблема не получила широкого или вообще какого-либо освещения, похоже, что Bitwarden знал о ней все время. Вот как это работает.
Потенциальная угроза безопасности связана с функцией автозаполнения Bitwarden при загрузке страницы. Он позволяет встроенным фреймам (iframe) получать доступ к вашим данным для входа, и если указанные iframes скомпрометированы, то и ваши учетные данные тоже. iframe — это элемент HTML, который позволяет разработчикам встраивать другую веб-страницу на страницу, на которой вы сейчас находитесь. Они часто используются для встраивания рекламы, видео или веб-аналитики.
Связанный
- Эти смущающие пароли взламывали знаменитостей
- Хакеры используют новый хитрый трюк, чтобы заразить ваши устройства
- OpenAI угрожает судебным иском из-за студенческого проекта GPT-4, забывая, что его можно использовать бесплатно
Согласно Flashpoint, использование Bitwarden с включенным автозаполнением на странице, содержащей фреймы, может привести к краже пароля. Это связано с тем, что автозаполнение при загрузке страницы автоматически заполняет ваш логин и пароль как на странице, на которой вы находитесь, так и внутри iframe, а это подвергает вас определенным рискам.
Рекомендуемые видео
В своем отчете Flashpoint отмечает: «Хотя встроенный iframe не имеет доступа ни к какому содержимому на родительской странице, он может дождитесь ввода в форму входа и перенаправьте введенные учетные данные на удаленный сервер без дальнейшего взаимодействия с пользователем».
Однако есть и другой способ, которым хакеры могут украсть ваши пароли. Автозаполнение Bitwarden при загрузке страницы также работает на поддоменах домена, к которому вы пытаетесь получить доступ, если логин совпадает. Это означает, что если вы наткнетесь на фишинговую страницу с поддоменом, который соответствует базовому домену, для которого вы сохранили свой пароль, Bitwarden может автоматически предоставить его хакеру.
«Некоторые провайдеры хостинга контента разрешают размещать произвольный контент в поддомене их официального домена, который также обслуживает их страницу входа. Например, если у компании есть страница входа в систему по адресу https://logins.company.tld и разрешить пользователям обслуживать контент под https://
Эта проблема не возникнет на законных крупных веб-сайтах, но бесплатные услуги хостинга позволяют создавать такие домены. Тем не менее, оба недостатка имеют довольно небольшую вероятность возникновения, поэтому Bitwarden не устранил проблему, несмотря на то, что знал о ней. Чтобы продолжать работать с веб-сайтами, использующими iframe, Bitwarden должен оставить это окно возможностей открытым для возможного фишинга и кражи паролей.
Стоит отметить, что автозаполнение при загрузке страницы отключено в Bitwarden по умолчанию, и инструмент предупреждает пользователей о возможных рисках при включении этой функции. В ответ на отчет Bitwarden заявил, что планирует обновление, которое заблокирует автозаполнение поддоменов.
Если вы еще не используете такой инструмент, как Bitwarden, обязательно ознакомьтесь с нашим руководством по лучшие менеджеры паролей. Bitwarden находится в этом списке, и, несмотря на этот недостаток безопасности, он по-прежнему заслуживает своего места — но, возможно, отключение автозаполнения при загрузке страницы может быть хорошей идеей на данный момент.
Рекомендации редакции
- Если у вас материнская плата Gigabyte, ваш компьютер может скрытно загружать вредоносное ПО.
- Хакеры могли украсть мастер-ключ к другому менеджеру паролей
- Нет, 1Password не взломали — вот что произошло на самом деле
- ИИ, вероятно, может взломать ваш пароль за секунды
- Ваши скриншоты Windows 11 могут быть не такими конфиденциальными, как вы думали
Обновите свой образ жизниDigital Trends помогает читателям быть в курсе быстро меняющегося мира технологий благодаря всем последним новостям, забавным обзорам продуктов, проницательным редакционным статьям и единственным в своем роде кратким обзорам.
