Менеждер паролей Bitwarden имеет серьезную уязвимость с 2018 года

Один из самых популярных бесплатных менеджеров паролей имеет серьезную уязвимость в системе безопасности, которая может позволить хакерам украсть ваши учетные данные в ходе атаки с целью кражи личных данных.

Менеждер паролей Bitwarden имеет серьезную уязвимость с 2018 года. Фото: СС0

Функция автозаполнения в менеджере паролей с открытым исходным кодом Bitwarden является корнем проблемы. Она позволяет неверным встроенным фреймам (iframe), содержащимся на доверенных веб-сайтах, захватывать пользовательские данные для входа.

Исследователи из фирмы по анализу безопасности Flashpoint обнаружили уязвимость, но в Bitwarden утверждают, что знали о ней с 2018 года, но проигнорировали ее, разрешив ее дальнейшее использование на популярных веб-сайтах с iframe.

Iframe — это элементы HTML, которые используются для встраивания другой веб-страницы в текущую. Они обычно используются для рекламы, веб-аналитики, видео и интерактивного контента.

В Flashpoint обнаружили, что при использовании функции автозаполнения, которая по умолчанию отключена в Bitwarden, на веб-странице с iframe учетные данные автоматически заполняются на родительской странице, а затем также в формах на странице iframe. И если это вредоносный iframe, контролируемый хакерами, то они могут украсть ваши учетные данные. Даже если iframe из внешнего домена, это все равно произойдет.

Из сообщения исследователей безопасность:

«Хотя встроенный iframe не имеет доступа к какому-либо содержимому на родительской странице, он может ожидать ввода данных в форму входа и пересылать введенные учетные данные на удаленный сервер без дальнейшего взаимодействия с пользователем».

Однако Flashpoint обнаружил, что риск такой атаки невелик, поскольку многие законные и популярные веб-сайты не содержат iframe на своих страницах входа.

Однако большее беспокойство вызывало то, что функция автозаполнения Bitwarden могла работать даже с поддоменами базовых доменов, для которых у вас есть сохраненные имя пользователя и пароль.

Эти поддомены могут использоваться в фишинговых аферах, когда злоумышленники создают поддельные страницы, используя поддомены законного веб-сайта, чтобы украсть пользовательские данные. В Flashpoint говорят, что это возможно, поскольку «некоторые провайдеры хостинга контента разрешают размещать произвольный контент в поддомене своего официального домена, который также служит их страницей входа».

Бесплатные хостинги позволяют создавать такие субдомены, но есть много законных доменов, которые не позволяют регистрировать субдомены на их основе. Однако и в этом случае поддомен все равно может быть захвачен хакером, говорят исследователи.

Теперь Bitwarden выдает предупреждение, когда пользователи включают функцию автозаполнения. В нем сообщается, что «скомпрометированные или ненадежные веб-сайты могут воспользоваться этим для кражи учетных данных».

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме