นักวิจัยเพิ่งพบข้อบกพร่องใน Bitwarden ซึ่งเป็นผู้จัดการรหัสผ่านยอดนิยม หากถูกโจมตี จุดบกพร่องอาจทำให้แฮ็กเกอร์เข้าถึงข้อมูลรับรองการเข้าสู่ระบบ และทำให้บัญชีต่างๆ เสียหายได้
ข้อบกพร่องภายใน Bitwarden ถูกค้นพบโดย จุดวาบไฟบริษัทวิเคราะห์ความปลอดภัย แม้ว่าปัญหาจะไม่ได้รับการรายงานข่าวมากนักในอดีต แต่ปรากฏว่า Bitwarden ทราบเรื่องนี้มาโดยตลอด นี่คือวิธีการทำงาน
ความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นอยู่ในฟีเจอร์ป้อนอัตโนมัติในการโหลดหน้าเว็บของ Bitwarden ช่วยให้อินไลน์เฟรม (iframes) เข้าถึงรายละเอียดการเข้าสู่ระบบของคุณ และถ้า iframes ถูกบุกรุก ข้อมูลรับรองของคุณก็เช่นกัน iframe เป็นองค์ประกอบ HTML ที่ช่วยให้นักพัฒนาฝังหน้าเว็บอื่นภายในหน้าที่คุณกำลังเปิดอยู่ มักใช้เพื่อจุดประสงค์ในการฝังโฆษณา วิดีโอ หรือการวิเคราะห์เว็บ
ที่เกี่ยวข้อง
- รหัสผ่านที่น่าอับอายเหล่านี้ทำให้คนดังถูกแฮ็ก
- แฮ็กเกอร์กำลังใช้กลอุบายใหม่เพื่อแพร่ระบาดในอุปกรณ์ของคุณ
- OpenAI ขู่ฟ้องโครงการ GPT-4 ของนักเรียน โดยลืมไปว่าใช้ได้ฟรี
จากข้อมูลของ Flashpoint การใช้ Bitwarden พร้อมเปิดใช้งานการป้อนข้อความอัตโนมัติบนหน้าเว็บที่มี iframes อาจส่งผลให้เกิดการขโมยรหัสผ่าน นี่เป็นเพราะการป้อนอัตโนมัติเมื่อโหลดหน้าเว็บจะกรอกข้อมูลเข้าสู่ระบบและรหัสผ่านของคุณโดยอัตโนมัติทั้งบนหน้าเว็บที่คุณอยู่และภายใน iframe — และนั่นทำให้คุณมีความเสี่ยง
วิดีโอแนะนำ
ในรายงาน Flashpoint กล่าวว่า "ในขณะที่ iframe ที่ฝังไว้ไม่สามารถเข้าถึงเนื้อหาใดๆ ในหน้าหลักได้ รอการป้อนข้อมูลในแบบฟอร์มการเข้าสู่ระบบและส่งต่อข้อมูลรับรองที่ป้อนไปยังเซิร์ฟเวอร์ระยะไกลโดยไม่ต้องดำเนินการกับผู้ใช้เพิ่มเติม”
มีอีกวิธีหนึ่งที่แฮ็กเกอร์สามารถขโมยรหัสผ่านของคุณได้ การป้อนอัตโนมัติในการโหลดหน้าเว็บของ Bitwarden ยังใช้งานได้กับโดเมนย่อยของโดเมนที่คุณกำลังพยายามเข้าถึง ตราบใดที่การเข้าสู่ระบบตรงกัน ซึ่งหมายความว่าหากคุณสะดุดกับหน้าฟิชชิ่งซึ่งมีโดเมนย่อยที่ตรงกับโดเมนพื้นฐานที่คุณบันทึกรหัสผ่านไว้ Bitwarden อาจให้ข้อมูลนั้นแก่แฮ็กเกอร์โดยอัตโนมัติ
“ผู้ให้บริการโฮสต์เนื้อหาบางรายอนุญาตให้โฮสต์เนื้อหาตามอำเภอใจภายใต้โดเมนย่อยของโดเมนที่เป็นทางการ ซึ่งให้บริการหน้าเข้าสู่ระบบด้วย ตัวอย่างเช่น บริษัทควรมีหน้าเข้าสู่ระบบที่ https://logins.company.tld และอนุญาตให้ผู้ใช้ให้บริการเนื้อหาภายใต้ https://
ปัญหานี้จะไม่เกิดขึ้นบนเว็บไซต์ขนาดใหญ่ที่ถูกต้องตามกฎหมาย แต่บริการโฮสติ้งฟรีอนุญาตให้สร้างโดเมนดังกล่าวได้ อย่างไรก็ตาม ข้อบกพร่องทั้งสองมีโอกาสเกิดขึ้นค่อนข้างน้อย ซึ่งเป็นเหตุผลว่าทำไม Bitwarden ยังไม่ได้แก้ไขปัญหาแม้ว่าจะทราบดีอยู่แล้วก็ตาม เพื่อให้ทำงานบนเว็บไซต์ที่ใช้ iframes ต่อไปได้ Bitwarden จะต้องเปิดหน้าต่างแห่งโอกาสนี้ไว้สำหรับการฟิชชิงและการขโมยรหัสผ่านที่อาจเกิดขึ้นได้
เป็นที่น่าสังเกตว่าการป้อนอัตโนมัติในการโหลดหน้าเว็บถูกปิดใช้งานใน Bitwarden ตามค่าเริ่มต้น และเครื่องมือจะเตือนผู้ใช้เกี่ยวกับความเสี่ยงที่อาจเกิดขึ้นเมื่อพวกเขาเปิดคุณลักษณะนี้ เพื่อตอบสนองต่อรายงาน Bitwarden กล่าวว่ากำลังวางแผนการอัปเดตที่จะบล็อกการป้อนอัตโนมัติในโดเมนย่อย
หากคุณยังไม่ได้ใช้เครื่องมือเช่น Bitwarden โปรดตรวจสอบคู่มือของเราเกี่ยวกับ ผู้จัดการรหัสผ่านที่ดีที่สุด. Bitwarden อยู่ในรายชื่อนั้น และแม้จะมีข้อบกพร่องด้านความปลอดภัยนี้ แต่ก็ยังสมควรได้รับตำแหน่งนี้ — แต่บางทีการปิดใช้งานการป้อนอัตโนมัติเมื่อโหลดหน้าเว็บอาจเป็นความคิดที่ดีในขณะนี้
คำแนะนำของบรรณาธิการ
- หากคุณมีเมนบอร์ด Gigabyte พีซีของคุณอาจดาวน์โหลดมัลแวร์อย่างลับๆ
- แฮ็กเกอร์อาจขโมยรหัสหลักไปยังผู้จัดการรหัสผ่านอื่น
- ไม่ 1Password ไม่ได้ถูกแฮ็ก – นี่คือสิ่งที่เกิดขึ้นจริง
- AI อาจถอดรหัสรหัสผ่านของคุณได้ในไม่กี่วินาที
- ภาพหน้าจอ Windows 11 ของคุณอาจไม่เป็นส่วนตัวอย่างที่คุณคิด
ยกระดับไลฟ์สไตล์ของคุณDigital Trends ช่วยให้ผู้อ่านติดตามโลกเทคโนโลยีที่เปลี่ยนแปลงอย่างรวดเร็วด้วยข่าวสารล่าสุด รีวิวผลิตภัณฑ์สนุกๆ บทบรรณาธิการเชิงลึก และการแอบดูที่ไม่ซ้ำใคร
