Хакеры могут взломать этот лучший менеджер паролей и украсть ваши логины
9 марта 2023 г.Один из самых популярных бесплатных менеджеров паролей имеет серьезную уязвимость в системе безопасности, которая может позволить хакеры, чтобы украсть ваши учетные данные в ходе атаки с кражей личных данных.
Автозаполнение функция в Bitwarden с открытым исходным кодом менеджер паролей — это корень проблемы, позволяющий неверным встроенным фреймам (iframes), содержащимся на доверенных веб-сайтах, перехватывать ваши данные для входа.
Фирма по анализу безопасности Flashpoint обнаружила уязвимость, но утверждает, что Bitwarden знала о ней еще в 2018 году, но предпочла проигнорировать ее в за разрешение его дальнейшего использования на популярных веб-сайтах с фреймами.
Взлом iframe
Iframe — это элементы HTML, которые используются для встраивания другой веб-страницы в текущую. Они обычно используются для рекламы, веб-аналитики, видео и интерактивного контента.
Flashpoint обнаружил, что при использовании функции автозаполнения, которая по умолчанию отключена в Bitwarden, на веб-странице с iframe учетные данные автоматически заполняется на родительской странице, а затем также в формах на странице iframe. И если это вредоносный iframe, контролируемый хакерами, то они могут украсть ваши учетные данные. Это все равно произойдет, даже если iframe из внешнего домена.
"Хотя встроенный iframe не имеет доступа к какому-либо содержимому на родительской странице, он может ожидать ввода в форму входа и пересылать введенные учетные данные на удаленный сервер без дальнейшего взаимодействия с пользователем", — сказал Flashpoint.
Однако Flashpoint обнаружила, что риск такой атаки невелик, поскольку многие законные и популярные веб-сайты не содержат iframe на своих страницах входа.
Однако больше беспокойства вызывало то, что функция автозаполнения Bitwarden могла работать даже с субдоменами базовых доменов, для которых у вас сохранены имя пользователя и пароль.
Эти субдомены могут использоваться в фишинговом мошенничестве, когда злоумышленники создают поддельные страницы, используя поддомены законного веб-сайта, чтобы украсть ваши данные. Flashpoint говорит, что это возможно, поскольку «некоторые провайдеры хостинга контента разрешают размещать произвольный контент в субдомене своего официального домена, который также служит их страницей входа».
Бесплатные хостинговые сайты позволяют создавать субдомен такого рода, но существует множество легитимных доменов, не позволяющих регистрировать поддомены на их основе. Однако в этом случае субдомен все еще может быть захвачен хакером.
Bitwarden выдает предупреждение, когда вы включаете функцию автозаполнения, заявляя, что «скомпрометированные или ненадежные веб-сайты могут воспользоваться этой возможностью». для кражи учетных данных."
Несмотря на риск использования iframe BleepingComputer.< /p>
Однако, когда дело доходит до автозаполнения форм на субдоменах, Bitwarden заявила, что в будущем выпустит обновление, чтобы предотвратить автозаполнение на хостинговых средах, которые это позволяют.
Оригинал