Якщо ви використовуєте цей менеджер паролів, ви можете бути під загрозою

Дослідники щойно виявили недолік у Bitwarden, популярному менеджері паролів. У разі використання цієї помилки хакери можуть отримати доступ до облікових даних для входу, скомпрометувавши різні облікові записи.

Помітили недолік у Bitwarden Точка займання, фірма з аналізу безпеки. Незважаючи на те, що в минулому ця проблема не отримала особливого — або взагалі — висвітлення, схоже, Bitwarden знали про це весь час. Ось як це працює.

Потенційний ризик безпеки полягає в функції автозаповнення Bitwarden під час завантаження сторінки. Це дозволяє вбудованим фреймам (iframes) отримувати доступ до ваших даних для входу, і якщо зазначені iframe скомпрометовані, то також і ваші облікові дані. iframe — це елемент HTML, який дозволяє розробникам вставляти іншу веб-сторінку на сторінку, на якій ви зараз перебуваєте. Вони часто використовуються для вставлення реклами, відео або веб-аналітики.

За даними Flashpoint, використання Bitwarden із увімкненим автозаповненням на сторінці, яка містить iframes, може призвести до крадіжки пароля. Це пояснюється тим, що функція автозаповнення під час завантаження сторінки автоматично заповнює ваш логін і пароль як на сторінці, на якій ви перебуваєте, так і в iframe — і це наражає вас на певні ризики.

У своєму звіті Flashpoint зазначив: «Хоча вбудований iframe не має доступу до будь-якого вмісту на батьківській сторінці, він може зачекайте на введення у форму входу та перешліть введені облікові дані на віддалений сервер без подальшої взаємодії з користувачем».

Однак є інший спосіб, яким хакери можуть викрасти ваші паролі. Автоматичне заповнення Bitwarden під час завантаження сторінки також працює на субдоменах домену, до якого ви намагаєтеся отримати доступ, якщо ім’я для входу збігається. Це означає, що якщо ви натрапите на фішингову сторінку, субдомен якої збігається з базовим доменом, для якого ви зберегли пароль, Bitwarden може автоматично надати його хакеру.

«Деякі постачальники контент-хостингу дозволяють розміщувати довільний контент під субдоменом свого офіційного домену, який також обслуговує їхню сторінку входу. Як приклад, чи повинна компанія мати сторінку входу в https://logins.company.tld і дозволяють користувачам обслуговувати вміст під https://.company.tld, ці користувачі можуть викрасти облікові дані з розширень Bitwarden», — пояснили у Flashpoint.

Ця проблема не виникне на законних великих веб-сайтах, але безкоштовні послуги хостингу дозволяють створювати такі домени. Тим не менш, обидва недоліки мають досить невеликий шанс появи, тому Bitwarden не вирішив проблему, незважаючи на те, що знав про це. Щоб продовжувати працювати на веб-сайтах, які використовують iframe, Bitwarden має залишити це вікно можливостей відкритим для можливого фішингу та крадіжки паролів.

Варто зазначити, що автозаповнення під час завантаження сторінки вимкнено в Bitwarden за замовчуванням, і інструмент дійсно попереджає користувачів про можливі ризики, коли вони вмикають цю функцію. У відповідь на звіт Bitwarden заявив, що планує оновлення, яке блокуватиме автозаповнення субдоменів.

Якщо ви ще не користуєтеся таким інструментом, як Bitwarden, обов’язково перегляньте наш посібник із найкращі менеджери паролів. Bitwarden є в цьому списку, і, незважаючи на цей недолік безпеки, він все ще заслуговує на своє місце, але, можливо, вимкнути автозаповнення під час завантаження сторінки може бути хорошою ідеєю на даний момент.

Рекомендації редакції

• Якщо у вас материнська плата Gigabyte, ваш ПК може непомітно завантажити зловмисне програмне забезпечення
• Можливо, хакери вкрали головний ключ іншого менеджера паролів
• Ні, 1Password не було зламано – ось що насправді сталося
• Штучний інтелект може зламати ваш пароль за лічені секунди
• Ваші знімки екрана Windows 11 можуть бути не такими приватними, як ви думали

Оновіть свій спосіб життяDigital Trends допомагає читачам стежити за динамічним світом технологій завдяки всім останнім новинам, цікавим оглядам продуктів, проникливим редакційним статтям і унікальним у своєму роді коротким оглядам.