اگر از این مدیر رمز عبور استفاده می کنید، ممکن است در معرض خطر باشید

محققان به تازگی نقصی را در Bitwarden، یک مدیر رمز عبور محبوب، کشف کرده اند. در صورت سوء استفاده، این باگ می تواند به هکرها امکان دسترسی به اعتبار ورود به سیستم را بدهد و حساب های مختلف را به خطر بیندازد.

آسیب پذیری Bitwarden توسط Flashpoint، یک شرکت تجزیه و تحلیل امنیتی مشاهده شد. در حالی که این موضوع در گذشته پوشش زیادی – یا هیچ – نداشته است، به نظر می رسد که Bitwarden همیشه از آن آگاه بوده است. در اینجا نحوه عملکرد آن آمده است.

خطر امنیتی بالقوه در ویژگی تکمیل خودکار Bitwarden نهفته است. به فریم‌های تعبیه‌شده (iframes) اجازه می‌دهد به اعتبار ورود شما دسترسی داشته باشند، و اگر iframe‌های گفته شده در معرض خطر قرار گیرند، اعتبار شما نیز همینطور است. یک قاب درون خطی یک عنصر HTML است که به توسعه دهندگان اجازه می دهد یک صفحه وب متفاوت را در صفحه ای که در حال حاضر در آن هستید جاسازی کنند. آنها اغلب برای اهداف جاسازی تبلیغات، ویدیوها یا تجزیه و تحلیل وب استفاده می شوند.

به گفته Flashpoint، استفاده از Bitwarden با قابلیت تکمیل خودکار در صفحه ای که حاوی iframe است، می تواند منجر به سرقت رمز عبور شود. این به این دلیل است که تکمیل خودکار به طور خودکار نام کاربری و رمز عبور شما را هم در صفحه ای که در آن هستید و هم در کادر تعبیه شده پر می کند – و این شما را در معرض خطرات خاصی قرار می دهد.

فلش پوینت در گزارش خود گفت: اگرچه iframe تعبیه شده به هیچ محتوایی در صفحه اصلی دسترسی ندارد، اما می تواند منتظر بماند تا فرم ورود وارد شود و اعتبار وارد شده را بدون تعامل بیشتر با کاربر به یک سرور راه دور ارسال کند.

با این حال، راه دیگری وجود دارد که هکرها می توانند رمزهای عبور شما را سرقت کنند. تکمیل خودکار Bitwarden روی زیر دامنه‌های دامنه‌ای که می‌خواهید به آن دسترسی داشته باشید نیز کار می‌کند، تا زمانی که جزئیات ورود به سیستم مطابقت داشته باشد. این بدان معنی است که اگر با یک صفحه فیشینگ با یک زیر دامنه مطابق با دامنه اصلی که رمز عبور خود را برای آن ذخیره کرده اید مواجه شدید، Bitwarden می تواند به طور خودکار آن را در اختیار هکر قرار دهد.

برخی از ارائه دهندگان میزبانی محتوا، میزبانی محتوای دلخواه را در زیر دامنه ای از دامنه رسمی خود که صفحه ورود آنها را نیز ارائه می دهد، مجاز می دانند. به عنوان مثال، آیا یک شرکت باید یک صفحه ورود به سیستم در https://logins.company.tld داشته باشد و به کاربران اجازه دهد تا محتوا را تحت عنوان https://<име на клиент>.company.tldفلش پوینت توضیح داد که این کاربران می توانند اعتبارنامه ها را از افزونه های Bitwarden بدزدند.

این مشکل با وب سایت های بزرگ قانونی رخ نمی دهد، اما خدمات میزبانی رایگان اجازه ایجاد چنین دامنه هایی را می دهد. با این حال، هر دوی این نقص‌ها احتمال وقوع نسبتاً کمی دارند، به همین دلیل است که Bitwarden با وجود آگاهی از آن، مشکل را برطرف نکرده است. برای ادامه کار بر روی وب سایت هایی که از چارچوب های جاسازی شده استفاده می کنند، Bitwarden باید این پنجره فرصت را برای سرقت احتمالی فیشینگ و رمز عبور باز بگذارد.

شایان ذکر است که تکمیل خودکار در Bitwarden به طور پیش فرض غیرفعال است و این ابزار هنگام فعال کردن این ویژگی به کاربران در مورد خطرات احتمالی هشدار می دهد. در پاسخ به این گزارش، Bitwarden گفت که در حال برنامه ریزی به روز رسانی است که پر کردن خودکار زیر دامنه ها را مسدود می کند.

اگر در حال حاضر از ابزاری مانند Bitwarden استفاده نمی‌کنید، حتماً راهنمای ما برای بهترین مدیران رمز عبور را بررسی کنید. Bitwarden در این لیست است و با وجود این نقص امنیتی، هنوز هم شایسته جایگاه خود است – اما شاید غیرفعال کردن تکمیل خودکار در حال حاضر ایده خوبی باشد.

توصیه های سردبیران