Badacze właśnie odkryli lukę w Bitwarden, popularnym menedżerze haseł. Jeśli błąd zostanie wykorzystany, może dać hakerom dostęp do twoich danych logowania, prowadząc do włamań na różne konta.
Błąd został zauważony w Bitwarden punkt zapłonu, firma zajmująca się analizą bezpieczeństwa. Chociaż w przeszłości problem nie był szeroko omawiany — ani w ogóle — Bitwarden wydawał się być tego świadomy przez cały czas. Oto jak to działa.
Potencjalne zagrożenia bezpieczeństwa leżą w funkcji autouzupełniania Bitwarden. Umożliwia elementom iframe dostęp do danych logowania, a jeśli te elementy iframe zostaną zhakowane, to samo stanie się z Twoimi danymi uwierzytelniającymi. Element iframe to element HTML, który umożliwia programistom osadzenie innej strony internetowej na aktualnie przeglądanej stronie. Są one często wykorzystywane do osadzania reklam, filmów lub analiz internetowych.
Według Flashpoint używanie Bitwarden z włączonym autouzupełnianiem na stronie z wbudowanymi ramkami może prowadzić do kradzieży hasła. Dzieje się tak, ponieważ autouzupełnianie automatycznie wpisuje Twój login i hasło zarówno na stronie, na której się znajdujesz, jak i wewnątrz elementu iframe – a to naraża Cię na pewne ryzyko.
Flashpoint powiedział w swoim raporcie: „Chociaż osadzona ramka iframe nie ma dostępu do żadnej treści na stronie głównej, może czekać na dane wejściowe do formularza logowania i przekazywać wprowadzone dane uwierzytelniające do zdalnego serwera bez dalszej interakcji użytkownika”.
Istnieje inny sposób, w jaki hakerzy mogą ukraść twoje hasła. Autouzupełnianie Bitwarden działa również na subdomenach domeny, do której próbujesz uzyskać dostęp, o ile login jest zgodny. Oznacza to, że jeśli natkniesz się na stronę phishingową z subdomeną odpowiadającą domenie podstawowej, dla której zapisałeś hasło, Bitwarden może automatycznie przekazać je hakerowi.
Niektórzy dostawcy usług hostingowych zezwalają na hostowanie dowolnych treści w subdomenie ich oficjalnej domeny, która służy również jako ich strona logowania. Na przykład, jeśli firma ma stronę logowania pod adresem https://logins.company.tld i umożliwia użytkownikom serwować treści pod https://
Problem ten nie pojawi się w dużych, legalnych serwisach, ale darmowe usługi hostingowe umożliwiają tworzenie takich domen. Jednak obie wady mają bardzo małą szansę na wystąpienie, dlatego Bitwarden nie naprawił problemu, mimo że był tego świadomy. Aby nadal działać na stronach internetowych korzystających z ramek iframe, Bitwarden musi pozostawić otwarte okno możliwości dla możliwości phishingu i kradzieży hasła.
Należy zauważyć, że autouzupełnianie jest domyślnie wyłączone w Bitwarden, a narzędzie ostrzega użytkowników przed potencjalnym ryzykiem, gdy funkcja jest włączona. W odpowiedzi na raport Bitwarden powiedział, że planuje aktualizację, która zablokuje automatyczne uzupełnianie subdomen.
Jeśli nie korzystasz jeszcze z narzędzia takiego jak Bitwarden, koniecznie zapoznaj się z naszym przewodnikiem po najlepszych menedżerach haseł. Bitwarden znajduje się na tej liście i pomimo tej luki w zabezpieczeniach nadal zasługuje na swoje miejsce – ale może wyłączenie autouzupełniania jest na razie dobrym pomysłem.
Zalecenia redaktorów
„Lekarz gier. Fanatyk zombie. Studio muzyczne. Kawiarni ninja. Miłośnik telewizji. Miły fanatyk alkoholik.