Bitwarden е популярен мениджър на пароли, но според изследователи в него има пропуск, който може да даде на хакерите достъп до данните за влизане в системата и да компрометира различни акаунти.  
Дефектът е забелязан от компанията за анализ на сигурността Flashpoint. Макар че проблемът не е бил особено отразяван в миналото, изглежда, че Bitwarden е бил наясно с него през цялото време. Ето как работи: потенциалният риск за сигурността се крие във функцията за автоматично попълване при зареждане на страницата на Bitwarden. Тя позволява iframes да имат достъп до данните ви за вход и ако те са компрометирани, то това се отнася и за вашите данни за достъп. Iframe е HTML елемент, който позволява на разработчиците да вграждат различна уебстраница в тази, на която се намирате в момента. Те най-често се използват за вграждане на реклами, видеоклипове или уеб анализи. Според Flashpoint използването на Bitwarden с активирано автоматично попълване на страница, която съдържа iframe, може да доведе до кражба на парола. Това е така, защото автоматичното попълване при зареждане на страницата автоматично попълва потребителското име и паролата ви както на страницата, на която се намирате, така и в рамките на iframe - а това ви излага на определени рискове. 
В своя доклад Flashpoint казва: "Въпреки че вграденият iframe няма достъп до съдържанието на родителската страница, той може да изчака въвеждането на данни във формуляра за вход и да препрати въведените данни към отдалечен сървър без по-нататъшно взаимодействие с потребителя".

Има обаче и друг начин, по който хакерите могат да откраднат паролите ви. Автоматичното попълване на Bitwarden при зареждане на страницата работи и на поддомейни на домейна, до който се опитвате да получите достъп, стига входните данни да съвпадат. Това означава, че ако се натъкнете на фишинг страница с поддомейн, който съвпада с основния домейн, за който сте запазили паролата си, Bitwarden може автоматично да я предостави на хакера. 
"Някои доставчици на хостинг на съдържание позволяват хостване на произволно съдържание под поддомейн на официалния си домейн, който обслужва и страницата им за вход. Като пример, ако дадена компания има страница за вход на адрес https://logins.company.tld и позволи на потребителите да обслужват съдържание под https://.company.tld, тези потребители могат да откраднат идентификационните данни от разширенията на Bitwarden", обясняват от Flashpoint. 
Този проблем няма да се появи при легитимни, големи уебсайтове, но безплатните хостинг услуги позволяват създаването на такива домейни. Все пак и двата недостатъка имат доста малък шанс да се появят, поради което Bitwarden не е отстранил проблема, въпреки че е наясно с него. За да продължи да работи в уебсайтове, които използват iframe, Bitwarden трябва да остави този прозорец на възможност отворен за евентуален фишинг и кражба на пароли. 
Струва си да се отбележи, че автоматичното попълване при зареждане на страницата е изключено в Bitwarden по подразбиране и инструментът предупреждава потребителите за възможните рискове, когато включат функцията. В отговор на доклада Bitwarden заяви, че планира актуализация, която ще блокира автоматичното попълване на поддомейни. 

Снимки: Unsplash

Виж още: Ако ползвате един от най-популярните мениджъри за пароли, ще искате да прочетете това