Raziskovalci so pravkar našli napako v Bitwardenu, priljubljenem upravitelju gesel. Če bi jo izkoristili, bi lahko hekerjem omogočili dostop do poverilnic za prijavo in tako ogrozili različne račune.
Napako v Bitwardnu je opazil Plamenišče, podjetje za varnostne analize. Čeprav o tem vprašanju v preteklosti ni bilo veliko - ali sploh - pokritosti, se zdi, da se je Bitwarden tega ves čas zavedal. Evo, kako to deluje.
Morebitno varnostno tveganje je v Bitwardenovi funkciji samodejnega izpolnjevanja ob nalaganju strani. Vgrajenim okvirjem (iframes) omogoča dostop do vaših podatkov za prijavo, in če so omenjeni iframe ogroženi, so ogrožene tudi vaše poverilnice. Iframe je element HTML, ki razvijalcem omogoča vdelavo druge spletne strani v stran, na kateri ste trenutno. Pogosto se uporabljajo za namene vdelave oglasov, videoposnetkov ali spletne analitike.
Povezano
- Zaradi teh neprijetnih gesel so zvezdniki vdrli
- Hekerji uporabljajo zvit nov trik za okužbo vaših naprav
- OpenAI grozi s tožbo zaradi študentskega projekta GPT-4, pozablja, da ga lahko uporabljate brezplačno
Glede na Flashpoint lahko uporaba Bitwardena z omogočenim samodejnim izpolnjevanjem na strani, ki vsebuje iframe, povzroči krajo gesla. To je zato, ker samodejno izpolnjevanje ob nalaganju strani samodejno izpolni vašo prijavo in geslo tako na strani, na kateri ste, kot znotraj iframea - in to vas izpostavi določenim tveganjem.
Priporočeni videoposnetki
Flashpoint je v svojem poročilu dejal: »Čeprav vdelan iframe nima dostopa do nobene vsebine na nadrejeni strani, lahko počakajte na vnos v obrazec za prijavo in posredujte vnesene poverilnice oddaljenemu strežniku brez nadaljnje interakcije uporabnika.«
Obstaja še en način, kako lahko hekerji ukradejo vaša gesla. Bitwardenovo samodejno izpolnjevanje ob nalaganju strani deluje tudi na poddomenah domene, do katere poskušate dostopati, če se prijava ujema. To pomeni, da če naletite na stran z lažnim predstavljanjem, s poddomeno, ki se ujema z osnovno domeno, za katero ste shranili geslo, jo lahko Bitwarden samodejno posreduje hekerju.
»Nekateri ponudniki gostovanja vsebin dovoljujejo gostovanje poljubnih vsebin pod poddomeno njihove uradne domene, ki služi tudi njihovi strani za prijavo. Na primer, če ima podjetje stran za prijavo na https://logins.company.tld in uporabnikom omogočiti streženje vsebin pod https://
Ta težava se ne bo pojavila na zakonitih velikih spletnih mestih, vendar brezplačne storitve gostovanja omogočajo izdelavo takšnih domen. Kljub temu imata obe napaki precej majhno možnost, da se pojavita, zato Bitwarden ni odpravil težave, čeprav se je zaveda. Da bi še naprej deloval na spletnih mestih, ki uporabljajo iframe, mora Bitwarden pustiti to okno priložnosti odprto za morebitno lažno predstavljanje in krajo gesel.
Treba je omeniti, da je samodejno izpolnjevanje ob nalaganju strani v Bitwardenu privzeto onemogočeno in orodje opozori uporabnike na možna tveganja, ko vklopijo funkcijo. Kot odgovor na poročilo je Bitwarden dejal, da načrtuje posodobitev, ki bo blokirala samodejno izpolnjevanje na poddomenah.
Če še ne uporabljate orodja, kot je Bitwarden, si oglejte naš vodnik po najboljši upravitelji gesel. Bitwarden je na tem seznamu in kljub tej varnostni napaki si še vedno zasluži svoje mesto - toda morda bi bilo onemogočanje samodejnega izpolnjevanja ob nalaganju strani trenutno dobra ideja.
Priporočila urednikov
- Če imate matično ploščo Gigabyte, lahko vaš računalnik prikrito prenese zlonamerno programsko opremo
- Hekerji so morda ukradli glavni ključ drugega upravitelja gesel
- Ne, v 1Password ni prišlo do vdora – tukaj se je res zgodilo
- AI lahko verjetno razkrije vaše geslo v nekaj sekundah
- Vaši posnetki zaslona Windows 11 morda niso tako zasebni, kot ste mislili
Nadgradite svoj življenjski slogDigitalni trendi bralcem pomagajo slediti hitremu svetu tehnologije z vsemi najnovejšimi novicami, zabavnimi ocenami izdelkov, pronicljivimi uvodniki in enkratnimi vpogledi v vsebine.
