Если вы используете этот менеджер паролей, вы можете быть в опасности | Цифровые тренды

Исследователи только что обнаружили брешь в Bitwarden, популярном менеджере паролей. В случае использования ошибка может дать хакерам доступ к учетным данным для входа в систему, скомпрометировав различные учетные записи.

  Мы в Telegram

Недостаток в Bitwarden был обнаружен Точка возгорания, фирма по анализу безопасности. Хотя в прошлом эта проблема не получила широкого или вообще какого-либо освещения, похоже, что Bitwarden знал о ней все время. Вот как это работает.

Офисный компьютер с логином, запрашивающим пароль и имя пользователя.

Потенциальная угроза безопасности связана с функцией автозаполнения Bitwarden. Он позволяет встроенным фреймам (iframe) получать доступ к вашим данным для входа, и если указанные iframes скомпрометированы, то и ваши учетные данные тоже. iframe — это элемент HTML, который позволяет разработчикам встраивать другую веб-страницу в страницу, на которой вы сейчас находитесь. Они часто используются для встраивания рекламы, видео или веб-аналитики.

Согласно Flashpoint, использование Bitwarden с включенным автозаполнением на странице, содержащей фреймы, может привести к краже пароля. Это связано с тем, что автозаполнение автоматически заполняет ваш логин и пароль как на странице, на которой вы находитесь, так и внутри iframe, а это подвергает вас определенным рискам.


В своем отчете Flashpoint сообщает: «Хотя встроенный iframe не имеет доступа к какому-либо содержимому на родительской странице, он может ожидать ввода данных в форму входа и пересылать введенные учетные данные на удаленный сервер без дальнейшего взаимодействия с пользователем».

Однако есть и другой способ, которым хакеры могут украсть ваши пароли. Автозаполнение Bitwarden также работает на поддоменах домена, к которому вы пытаетесь получить доступ, если логин совпадает. Это означает, что если вы наткнетесь на фишинговую страницу с поддоменом, который соответствует базовому домену, для которого вы сохранили свой пароль, Bitwarden может автоматически предоставить его хакеру.

«Некоторые провайдеры хостинга контента разрешают размещать произвольный контент в поддомене их официального домена, который также обслуживает их страницу входа. Например, если компания имеет страницу входа по адресу https://logins.company.tld и позволяет пользователям обслуживать контент под https://<имя_клиента>.company.tldэти пользователи могут украсть учетные данные из расширений Bitwarden», — пояснил Flashpoint.

Темная таинственная рука, печатающая на ноутбуке ночью.
Эндрю Брукс / Getty Images

Эта проблема не возникнет на законных крупных веб-сайтах, но бесплатные услуги хостинга позволяют создавать такие домены. Тем не менее, оба недостатка имеют довольно небольшую вероятность возникновения, поэтому Bitwarden не устранил проблему, несмотря на то, что знал о ней. Чтобы продолжать работать с веб-сайтами, использующими iframe, Bitwarden должен оставить это окно возможностей открытым для возможного фишинга и кражи паролей.


Стоит отметить, что автозаполнение отключено в Bitwarden по умолчанию, и инструмент предупреждает пользователей о возможных рисках при включении этой функции. В ответ на отчет Bitwarden заявил, что планирует обновление, которое заблокирует автозаполнение поддоменов.

Если вы еще не используете такой инструмент, как Bitwarden, обязательно ознакомьтесь с нашим руководством по лучшим менеджерам паролей. Bitwarden находится в этом списке, и, несмотря на этот недостаток безопасности, он по-прежнему заслуживает своего места, но, возможно, отключение автозаполнения может быть хорошей идеей на данный момент.


Рекомендации редакции






Нажмите здесь, чтобы узнать больше новостей


Leave a Comment

Your email address will not be published. Required fields are marked *