Истраживачи су управо пронашли недостатак у Битвардену, популарном менаџеру лозинки. Ако се искористи, грешка би могла дати хакерима приступ акредитивима за пријаву, компромитујући различите налоге.
Грешку унутар Битвардена је уочио Температура паљења, фирма за безбедносне анализе. Иако проблем није био много – или уопште – покривен у прошлости, чини се да је Битварден био свестан тога све време. Ево како то функционише.
Потенцијални безбедносни ризик лежи у Битварденовој функцији аутоматског попуњавања при учитавању странице. Омогућава инлине оквирима (ифрамес) приступ вашим детаљима за пријаву, а ако су наведени ифрамес угрожени, онда су и ваши акредитиви. Ифраме је ХТМЛ елемент који омогућава програмерима да уграде другу веб страницу у страницу на којој се тренутно налазите. Често се користе у сврху уграђивања огласа, видео записа или веб аналитике.
Повезан
- Ове срамотне лозинке су хаковале познате личности
- Хакери користе нови трик да заразе ваше уређаје
- ОпенАИ прети тужбом због студентског ГПТ-4 пројекта, заборављајући да га можете користити бесплатно
Према Фласхпоинт-у, коришћење Битвардена са омогућеним аутоматским попуњавањем на страници која садржи ифраме може довести до крађе лозинке. То је зато што аутоматско попуњавање при учитавању странице аутоматски попуњава ваше податке за пријаву и лозинку и на страници на којој се налазите и унутар ифраме-а — и то вас излаже одређеним ризицима.
Препоручени видео снимци
У свом извештају, Фласхпоинт је рекао: „Док уграђени ифраме нема приступ ниједном садржају на родитељској страници, може сачекајте унос у формулар за пријаву и проследите унете акредитиве на удаљени сервер без даље интеракције корисника.“
Међутим, постоји још један начин на који хакери могу да украду ваше лозинке. Битварденово аутоматско попуњавање при учитавању странице такође функционише на поддоменима домена којем покушавате да приступите, све док се пријављивање подудара. То значи да ако наиђете на страницу за крађу идентитета, са поддоменом који одговара основном домену за који сте сачували лозинку, Битварден би је могао аутоматски дати хакеру.
„Неки провајдери за хостовање садржаја дозвољавају хостовање произвољног садржаја под поддоменом њиховог званичног домена, који такође служи њиховој страници за пријаву. На пример, да ли компанија има страницу за пријаву на https://logins.company.tld и омогућавају корисницима да приказују садржај под хттпс://
Овај проблем се неће појавити на легитимним, великим веб локацијама, али бесплатне услуге хостинга омогућавају стварање таквих домена. Ипак, обе мане имају прилично мале шансе да се појаве, због чега Битварден није решио проблем иако је био свестан тога. Да би наставио да ради на веб локацијама које користе ифраме-ове, Битварден мора да остави отворен овај прозор могућности за могућу крађу и крађу лозинке.
Вреди напоменути да је аутоматско попуњавање при учитавању странице подразумевано онемогућено у Битвардену, а алатка упозорава кориснике на могуће ризике када укључе функцију. Као одговор на извештај, Битварден је рекао да планира ажурирање које ће блокирати аутоматско попуњавање на поддоменима.
Ако још увек не користите алатку као што је Битварден, обавезно погледајте наш водич за најбољи менаџери лозинки. Битварден је на тој листи, и упркос овој безбедносној мани, и даље заслужује своје место - али можда би онемогућавање аутоматског попуњавања при учитавању странице за сада могла бити добра идеја.
Препоруке уредника
- Ако имате Гигабите матичну плочу, ваш рачунар би могао потајно да преузме малвер
- Хакери су можда украли главни кључ другог менаџера лозинки
- Не, 1Пассворд није хакован – ево шта се заиста догодило
- АИ вероватно може да провали вашу лозинку за неколико секунди
- Ваши снимци екрана за Виндовс 11 можда нису тако приватни као што сте мислили
Надоградите свој животни стилДигитални трендови помажу читаоцима да прате убрзани свет технологије са свим најновијим вестима, забавним рецензијама производа, проницљивим уводницима и јединственим кратким прегледима.
