Adathalászok dolgát nehezítette meg a Bitwarden

Szerző: Biztonságportál | Utolsó módosítás: 2024.02.27.

A Bitwarden egy régóta várt fejlesztést jelentett be, amivel az automatikus kitöltési funkció vált ellenállóbbá az adathalász támadásokkal szemben.

A széles körben használt, nyílt forráskódú jelszókezelő, a Bitwarden kapcsán már régebb óta ismert egy olyan sebezhetőség, amely elsősorban az adathalászok dolgát képes megkönnyíteni. A technika alapvetően sok éve működőképes, de arra elsőként egy évvel ezelőtt a Flashpoint egyik biztonsági kutatója hívta fel a figyelmet. A trükk lényege, hogy a Bitwarden automatikus felhasználónév és jelszó kitöltésére szolgáló funkciója weboldalakba ágyazott IFRAME-kódokkal olyan módon manipulálható, hogy felhasználó bizalmas hitelesítő adatai végül a csalók kezébe kerülhetnek.

Tavaly a Bitwarden fejlesztői először egy figyelmeztetést építettek a funkcióba, amellyel tájékoztatták a felhasználót az automatikus kitöltés veszélyeire. Nem sokkal később pedig egy olyan megszorítással éltek, amelynek révén a szoftver csak akkor töltötte ki a problémás IFRAME-ben lévő beviteli mezőket, ha az IFRAME a legitim weboldal domainje alól származó tartalmat jelenített meg.

Még egy csavar

Ahogy sok Bitwarden felhasználót, úgy az alkalmazás fejlesztőit sem nyugtatta meg teljes mértékben a fenti megoldás, ezért egy újabb védelmi mechanizmus került a rendszerbe. Ennek lényege, hogy - beállítástól függően - a Bitwarden csak akkor tölti ki a korábban mentett bejelentkezési adatokat, ha a felhasználó előbb belekattint a megfelelő beviteli mezőbe. Ezáltal elkerülhetővé válhat, hogy a Bitwarden úgy adjon meg adatokat, hogy azt a felhasználó esetleg nem veszi észre.

A fejlesztők jelezték, hogy mielőtt elérhetővé tették az új opciót, azelőtt számos sebezhetőségi tesztet hajtottak végre külső szakértők bevonásával, hogy az esetleges biztonsági réseket még időben fel tudják tárni. A megoldás pedig mostanra érett meg arra, hogy nyilvánosan, mindenki számára használhatóvá váljon.

Az automatikus kitöltési funkció - az új opcióval egyetemben - a Beállítások menüben szabható testre.

Iratkozzon fel hírlevelünkre!

További hírek

Virágkorát éli a csalók egyik kedvenc szolgáltatása

Így védjük a gyerekeket a nyári netezés során

Beleszaladt egy pofonba az Európát veszélyeztető kiberbanda

Íme a világ legbiztonságosabb pendrive-ja

Riasztások

4

NVIDIA driver hibák

Az NVIDIA Windows-os GPU driverek fontos biztonsági frissítést kaptak.
3

VMware vCenter sérülékenység

A VMware vCenter egy biztonsági rés kapcsán kapott frissítést.
3

SolarWinds sérülékenységek

A SolarWinds Platformhoz négy biztonsági javítás vált letölthetővé.
4

Google Chrome biztonsági rés

A Google ezúttal egy biztonsági rést foltozott be a Chrome webböngészőn.
4

Apple macOS hibajavítások

Rengeteg biztonsági rést foltozott be az Apple a macOS-en.
4

Apple iOS/iPadOS frissítések

Letölthetővé vált az iOS és az iPadOS júliusi frissítése.
4

Apple watchOS sérülékenységek

Az Apple watchOS frissítésével több mint 20 sérülékenység orvosolható.
3

Synology BeeDrive for Desktop frissítés

Biztonsági frissítést kapott a Synology BeeDrive for Desktop.
3

IBM Informix sebezhetőségek

Az IBM Informixhez számos biztonsági frissítés vált elérhetővé.
3

SQLite biztonsági rések

Az SQLite egy közepes veszélyességű hibát tartalmaz.

	ESET Home Security Premium 1 év 5 eszköz Nyugdíjas kedvezmény
	23093 Ft

	ESET Home Security Premium 1 év 2 eszköz Új licenc
	21990 Ft

	ESET Home Security Premium 3 év 5 eszköz Új licenc
	99990 Ft

Partnerhírek

Terjed a hamis hibaüzenetekkel támadó ClickFix kártevő

Az ESET közzétette legfrissebb kiberfenyegetettségi jelentését, amely a 2024. december és 2025. május közötti időszakban tapasztalt kiberkockázatokat mutatja be

Hogyan védhetjük meg a gyerekeket a kibertérben?

A nyári szünet idején a gyerekek több időt töltenek otthon, sokszor felügyelet nélkül – ez pedig nemcsak a fizikai, hanem az online biztonság szempontjából is kihívásokat jelent.

További partnerhírek >>