Výskumníci práve našli chybu v Bitwardene, populárnom správcovi hesiel. V prípade zneužitia by chyba mohla poskytnúť hackerom prístup k prihlasovacím povereniam a ohroziť rôzne účty.
Chybu v Bitwardene si všimol Bod vzplanutia, firma zaoberajúca sa analýzou bezpečnosti. Aj keď sa o probléme v minulosti nedostalo veľa – alebo žiadne – pokrytie, zdá sa, že Bitwarden si to celý čas uvedomoval. Tu je návod, ako to funguje.
Potenciálne bezpečnostné riziko spočíva vo funkcii automatického dopĺňania pri načítaní stránky Bitwarden. Umožňuje vloženým rámcom (prvkom iframe) prístup k vašim prihlasovacím údajom, a ak sú tieto prvky iframe napadnuté, potom aj vaše poverenia. Iframe je prvok HTML, ktorý umožňuje vývojárom vložiť inú webovú stránku na stránku, na ktorej sa práve nachádzate. Často sa používajú na účely vkladania reklám, videí alebo webovej analýzy.
Súvisiace
- Tieto trápne heslá hackli celebrity
- Hackeri používajú na infikovanie vašich zariadení nový trik
- OpenAI hrozí žalobou za študentský projekt GPT-4, zabudne, že ho môžete používať zadarmo
Podľa Flashpoint by používanie Bitwardenu s povoleným automatickým dopĺňaním na stránke, ktorá obsahuje prvky iframe, mohlo viesť ku krádeži hesla. Je to preto, že automatické dopĺňanie pri načítaní stránky automaticky vyplní vaše prihlasovacie meno a heslo na stránke, na ktorej sa nachádzate, aj v rámci prvku iframe – a to vás vystavuje určitým rizikám.
Odporúčané videá
Flashpoint vo svojej správe uviedol: „Zatiaľ čo vložený prvok iframe nemá prístup k žiadnemu obsahu na nadradenej stránke, môže počkajte na vstup do prihlasovacieho formulára a prepošlite zadané poverenia na vzdialený server bez ďalšej interakcie používateľa.“
Existuje však ďalší spôsob, ako môžu hackeri ukradnúť vaše heslá. Automatické dopĺňanie Bitwarden pri načítaní stránky funguje aj na subdoménach domény, ku ktorej sa pokúšate dostať, pokiaľ sa prihlasovacie údaje zhodujú. To znamená, že ak narazíte na phishingovú stránku so subdoménou, ktorá sa zhoduje so základnou doménou, pre ktorú ste uložili svoje heslo, Bitwarden ju môže automaticky poskytnúť hackerovi.
„Niektorí poskytovatelia hostingu obsahu umožňujú hosťovanie ľubovoľného obsahu pod subdoménou ich oficiálnej domény, ktorá slúži aj na ich prihlasovaciu stránku. Napríklad by mala mať spoločnosť prihlasovaciu stránku na adrese https://logins.company.tld a umožniť používateľom zobrazovať obsah pod https://
Tento problém sa nevyskytne na legitímnych veľkých webových stránkach, ale bezplatné hostingové služby umožňujú vytvorenie takýchto domén. Napriek tomu majú obe chyby dosť malú šancu na výskyt, a preto Bitwarden problém nevyriešil napriek tomu, že o tom vedel. Ak chcete pokračovať v práci na webových stránkach, ktoré používajú prvky iframe, Bitwarden musí ponechať toto okno príležitosti otvorené pre možné phishing a krádež hesla.
Stojí za zmienku, že automatické dopĺňanie pri načítaní stránky je v Bitwardene predvolene zakázané a nástroj upozorňuje používateľov na možné riziká, keď túto funkciu zapnú. V reakcii na správu Bitwarden uviedol, že plánuje aktualizáciu, ktorá zablokuje automatické dopĺňanie subdomén.
Ak ešte nepoužívate nástroj ako Bitwarden, prečítajte si nášho sprievodcu najlepší správcovia hesiel. Bitwarden je na tomto zozname a napriek tejto bezpečnostnej chybe si stále zaslúži svoje miesto – možno by však v súčasnosti mohlo byť dobrým nápadom vypnúť automatické dopĺňanie pri načítaní stránky.
Odporúčania redaktorov
- Ak máte základnú dosku Gigabyte, váš počítač môže tajne stiahnuť malvér
- Hackeri mohli ukradnúť hlavný kľúč inému správcovi hesiel
- Nie, 1Password nebolo napadnuté – tu je to, čo sa skutočne stalo
- AI pravdepodobne dokáže prelomiť vaše heslo v priebehu niekoľkých sekúnd
- Vaše snímky obrazovky systému Windows 11 nemusia byť také súkromné, ako ste si mysleli
Zlepšite svoj životný štýlDigitálne trendy pomáhajú čitateľom mať prehľad o rýchlo sa rozvíjajúcom svete technológií so všetkými najnovšími správami, zábavnými recenziami produktov, užitočnými úvodníkmi a jedinečnými ukážkami.