Adathalászok dolgát nehezítette meg a Bitwarden

Szerző: Biztonságportál | Utolsó módosítás: 2024.02.27.

A Bitwarden egy régóta várt fejlesztést jelentett be, amivel az automatikus kitöltési funkció vált ellenállóbbá az adathalász támadásokkal szemben.

A széles körben használt, nyílt forráskódú jelszókezelő, a Bitwarden kapcsán már régebb óta ismert egy olyan sebezhetőség, amely elsősorban az adathalászok dolgát képes megkönnyíteni. A technika alapvetően sok éve működőképes, de arra elsőként egy évvel ezelőtt a Flashpoint egyik biztonsági kutatója hívta fel a figyelmet. A trükk lényege, hogy a Bitwarden automatikus felhasználónév és jelszó kitöltésére szolgáló funkciója weboldalakba ágyazott IFRAME-kódokkal olyan módon manipulálható, hogy felhasználó bizalmas hitelesítő adatai végül a csalók kezébe kerülhetnek.

Tavaly a Bitwarden fejlesztői először egy figyelmeztetést építettek a funkcióba, amellyel tájékoztatták a felhasználót az automatikus kitöltés veszélyeire. Nem sokkal később pedig egy olyan megszorítással éltek, amelynek révén a szoftver csak akkor töltötte ki a problémás IFRAME-ben lévő beviteli mezőket, ha az IFRAME a legitim weboldal domainje alól származó tartalmat jelenített meg.

Még egy csavar

Ahogy sok Bitwarden felhasználót, úgy az alkalmazás fejlesztőit sem nyugtatta meg teljes mértékben a fenti megoldás, ezért egy újabb védelmi mechanizmus került a rendszerbe. Ennek lényege, hogy - beállítástól függően - a Bitwarden csak akkor tölti ki a korábban mentett bejelentkezési adatokat, ha a felhasználó előbb belekattint a megfelelő beviteli mezőbe. Ezáltal elkerülhetővé válhat, hogy a Bitwarden úgy adjon meg adatokat, hogy azt a felhasználó esetleg nem veszi észre.

A fejlesztők jelezték, hogy mielőtt elérhetővé tették az új opciót, azelőtt számos sebezhetőségi tesztet hajtottak végre külső szakértők bevonásával, hogy az esetleges biztonsági réseket még időben fel tudják tárni. A megoldás pedig mostanra érett meg arra, hogy nyilvánosan, mindenki számára használhatóvá váljon.

Az automatikus kitöltési funkció - az új opcióval egyetemben - a Beállítások menüben szabható testre.

Iratkozzon fel hírlevelünkre!

További hírek

Brutális büntetést kapott a TikTok

Hamis frissítésekkel hackelik a webáruházakat

Nem könnyű a CISO-k élete

Újabb biztonsági funkciót kapott a WhatsApp

Riasztások

3

VMware Tools sebezhetőség

A VMware Tools egy biztonsági frissítést kapott.
4

Google Chrome bulladik napi hiba

A Google a Chrome-ban két hibát javított, amelyek közül az egyik kritikus, nulladik napi sebezhetőség.
4

Adobe Photoshop frissítések

Az Adobe Photoshop három biztonsági hibajavítást kapott.
4

Adobe Illustrator biztonsági hiba

Az Adobe Illustrator kapcsán egy biztonsági hiba javítása vált szükségessé.
4

Adobe InDesign biztonsági hibák

Az Adobe InDesignhoz három frissítés érkezett.
5

SAP biztonsági javítások

Az SAP kiadta a májusi biztonsági frissítéseit.
4

Windows biztonsági frissítések

A Microsoft elérhetővé tette a májusi biztonsági frissítéseket a Windows-hoz.
4

Office biztonsági javítások

Az Office több mint egy tucat biztonsági frissítéssel gyarapodott.
4

Fortinet biztonsági javítás

A Fortinet egy kritikus veszélyességű biztonsági hibáról adott tájékoztatást.
4

SharePoint Server frissítések

A Microsoft négy hibajavítást tett letölthetővé a SharePoint Serverhez.

	F-Secure Total 2 év 7 eszköz
	29990 Ft

	ESET NOD32 Antivirus 2 év 3 eszköz Nyugdíjas kedvezmény hosszabbítás
	20993 Ft

	G Data AntiVirus 2 év 4 eszköz Hosszabbítás
	24600 Ft

Partnerhírek

Az ESET kutatói vizsgálták a RansomHub csoportot

Az ESET kutatói átfogó elemzést tettek közzé a zsarolóvírus ökoszisztémában bekövetkezett jelentős változásokról, különös figyelmet fordítva a domináns RansomHub csoportra.

Támadást hajtott végre a Kínához köthető FamousSparrow csoport

Az ESET kutatói felfedezték, hogy a FamousSparrow hackercsoport felelős egy pénzügyi szektorban működő amerikai kereskedelmi szervezet és egy mexikói kutatóintézet ellen elkövetett kibertámadásért.

További partnerhírek >>