Forskare har precis hittat ett fel inom Bitwarden, en populär lösenordshanterare. Om det utnyttjas kan felet ge hackare tillgång till inloggningsuppgifter, vilket äventyrar olika konton.
Felet inom Bitwarden upptäcktes av Flampunkt, ett säkerhetsanalysföretag. Även om problemet inte har fått mycket - eller någon - täckning tidigare, verkar det som att Bitwarden var medveten om det hela tiden. Så här fungerar det.
Den potentiella säkerhetsrisken ligger inom Bitwardens funktion för autofyll vid sidladdning. Det låter inline-ramar (iframes) komma åt dina inloggningsuppgifter, och om nämnda iframes äventyras, så är det även dina referenser. En iframe är ett HTML-element som gör att utvecklare kan bädda in en annan webbsida på sidan du för närvarande är på. De används ofta för att bädda in annonser, videor eller webbanalys.
Relaterad
- Dessa pinsamma lösenord fick kändisar att hacka
- Hackare använder ett listigt nytt knep för att infektera dina enheter
- OpenAI hotar med rättegång över student GPT-4-projekt, glömmer att du kan använda det gratis
Enligt Flashpoint kan användning av Bitwarden med autofyll aktiverad på en sida som innehåller iframes resultera i lösenordsstöld. Detta beror på att autofyll vid sidladdning automatiskt fyller i ditt användarnamn och lösenord både på sidan du är på och inom iframen - och det utsätter dig för vissa risker.
Rekommenderade videor
I sin rapport sa Flashpoint: "Även om den inbäddade iframen inte har tillgång till något innehåll på den överordnade sidan, kan den vänta på input till inloggningsformuläret och vidarebefordra de angivna referenserna till en fjärrserver utan ytterligare användarinteraktion."
Det finns dock ett annat sätt att hackare kan stjäla dina lösenord. Bitwardens autofyllning vid sidladdning fungerar också på underdomäner till domänen du försöker komma åt, så länge inloggningen matchar. Det betyder att om du snubblar på en nätfiskesida, med en underdomän som matchar basdomänen du har sparat ditt lösenord för, kan Bitwarden automatiskt tillhandahålla det till hackaren.
"Vissa innehållsvärdleverantörer tillåter att godtyckligt innehåll lagras under en underdomän till deras officiella domän, som också tjänar deras inloggningssida. Som ett exempel, ska ett företag ha en inloggningssida på https://logins.company.tld och tillåta användare att visa innehåll under https://
Det här problemet kommer inte att dyka upp på legitima, stora webbplatser, men gratis värdtjänster tillåter att sådana domäner skapas. Ändå har båda bristerna en ganska liten chans att inträffa, vilket är anledningen till att Bitwarden inte har åtgärdat problemet trots att han var medveten om det. För att kunna fortsätta arbeta på webbplatser som använder iframes måste Bitwarden lämna denna möjlighet öppen för eventuellt nätfiske och lösenordsstöld.
Det är värt att notera att autofyll vid sidladdning är inaktiverat i Bitwarden som standard, och verktyget varnar användare om möjliga risker när de aktiverar funktionen. Som svar på rapporten har Bitwarden sagt att de planerar en uppdatering som kommer att blockera autofyll på underdomäner.
Om du inte använder ett verktyg som Bitwarden ännu, se till att kolla in vår guide till bästa lösenordshanterare. Bitwarden finns på den listan, och trots detta säkerhetsbrist förtjänar den fortfarande sin plats - men kanske kan det vara en bra idé att inaktivera autofyll vid sidladdning för tillfället.
Redaktörens rekommendationer
- Om du har ett Gigabyte-moderkort kan din dator ladda ner skadlig programvara smygande
- Hackare kan ha stulit huvudnyckeln till en annan lösenordshanterare
- Nej, 1Password hackades inte – här är vad som verkligen hände
- AI kan förmodligen knäcka ditt lösenord på några sekunder
- Dina Windows 11-skärmdumpar kanske inte är så privata som du trodde
Uppgradera din livsstilDigitala trender hjälper läsare att hålla koll på den snabba teknikvärlden med alla de senaste nyheterna, roliga produktrecensioner, insiktsfulla redaktioner och unika smygtittar.