اكتشف الباحثون للتو ثغرة في Bitwarden ، مدير كلمات المرور الشهير. إذا تم استغلال الخطأ ، فقد يمنح المتسللين الوصول إلى بيانات اعتماد تسجيل الدخول ، مما يؤدي إلى اختراق حسابات مختلفة.
تم اكتشاف الخلل داخل Bitwarden بواسطة Flashpoint ، شركة تحليل الأمان. على الرغم من أن المشكلة لم تتلق الكثير – أو أي تغطية – في الماضي ، يبدو أن Bitwarden كان على علم بها طوال الوقت. وإليك كيف يعمل.
تكمن المخاطر الأمنية المحتملة في ميزة الملء التلقائي في Bitwarden. يسمح للإطارات المضمنة (iframes) بالوصول إلى تفاصيل تسجيل الدخول الخاصة بك ، وإذا تم اختراق إطارات iframe المذكورة ، فستكون بيانات اعتمادك كذلك. iframe هو عنصر HTML يسمح للمطورين بتضمين صفحة ويب مختلفة داخل الصفحة التي تتصفحها حاليًا. غالبًا ما يتم استخدامها لغرض تضمين الإعلانات أو مقاطع الفيديو أو تحليلات الويب.
وفقًا لـ Flashpoint ، فإن استخدام Bitwarden مع تمكين الملء التلقائي على صفحة تحتوي على إطارات مضمنة قد يؤدي إلى سرقة كلمة المرور. هذا لأن الملء التلقائي يملأ تلقائيًا معلومات تسجيل الدخول وكلمة المرور الخاصة بك على كل من الصفحة التي تتصفحها وداخل إطار iframe – وهذا يعرضك لمخاطر معينة.
قال Flashpoint في تقريره: “بينما لا يمتلك إطار iframe المضمن إمكانية الوصول إلى أي محتوى في الصفحة الرئيسية ، فإنه يمكنه انتظار الإدخال إلى نموذج تسجيل الدخول وإعادة توجيه بيانات الاعتماد المُدخلة إلى خادم بعيد دون مزيد من تفاعل المستخدم.”
هناك طريقة أخرى يمكن للقراصنة من خلالها سرقة كلمات المرور الخاصة بك. يعمل الملء التلقائي لـ Bitwarden أيضًا على المجالات الفرعية للمجال الذي تحاول الوصول إليه ، طالما أن تسجيل الدخول متطابق. هذا يعني أنه إذا تعثرت في صفحة تصيد بنطاق فرعي يطابق المجال الأساسي الذي قمت بحفظ كلمة مرورك من أجله ، فقد يقوم Bitwarden بتوفيره تلقائيًا للمتسلل.
“يسمح بعض موفري استضافة المحتوى باستضافة محتوى تعسفي ضمن نطاق فرعي لنطاقهم الرسمي ، والذي يخدم أيضًا صفحة تسجيل الدخول الخاصة بهم. كمثال ، إذا كان لدى الشركة صفحة تسجيل دخول على https: //logins.company.tld والسماح للمستخدمين بخدمة المحتوى ضمن https: //
لن تظهر هذه المشكلة في مواقع الويب الكبيرة الشرعية ، لكن خدمات الاستضافة المجانية تسمح بإنشاء مثل هذه المجالات. ومع ذلك ، فإن كلا العيبين لديهما فرصة ضئيلة جدًا لحدوثهما ، وهذا هو السبب في عدم قيام Bitwarden بإصلاح المشكلة على الرغم من إدراكها لها. من أجل الاستمرار في العمل على مواقع الويب التي تستخدم إطارات iframe ، يتعين على Bitwarden ترك نافذة الفرصة مفتوحة لاحتمال سرقة التصيد الاحتيالي وكلمة المرور.
تجدر الإشارة إلى أن الملء التلقائي معطل في Bitwarden افتراضيًا ، وتحذر الأداة المستخدمين من المخاطر المحتملة عند تشغيل الميزة. رداً على التقرير ، قالت Bitwarden إنها تخطط لتحديث من شأنه حظر الملء التلقائي على المجالات الفرعية.
إذا كنت لا تستخدم أداة مثل Bitwarden حتى الآن ، فتأكد من مراجعة دليلنا لأفضل مديري كلمات المرور. Bitwarden موجود في تلك القائمة ، وعلى الرغم من هذا الخلل الأمني ، إلا أنه لا يزال يستحق مكانه – ولكن ربما يكون تعطيل الملء التلقائي فكرة جيدة في الوقت الحالي.