Se você usar este gerenciador de senhas gratuito, suas senhas podem estar em risco
Os pesquisadores acabaram de encontrar uma falha no Bitwarden, um popular gerenciador de senhas. Se explorado, o bug pode dar aos hackers acesso às credenciais de login, comprometendo várias contas.
A falha dentro do Bitwarden foi detectada pela Flashpoint , uma empresa de análise de segurança. Embora o problema não tenha recebido muita – ou nenhuma – cobertura no passado, parece que a Bitwarden estava ciente disso o tempo todo. Veja como funciona.
O potencial risco de segurança está no recurso de preenchimento automático do Bitwarden. Ele permite que quadros embutidos (iframes) acessem seus detalhes de login e, se esses iframes estiverem comprometidos, suas credenciais também estarão. Um iframe é um elemento HTML que permite aos desenvolvedores incorporar uma página da web diferente na página em que você está. Eles geralmente são usados para incorporar anúncios, vídeos ou análises da web.
De acordo com o Flashpoint, o uso do Bitwarden com o preenchimento automático ativado em uma página que contém iframes pode resultar em roubo de senha. Isso ocorre porque o preenchimento automático preenche automaticamente seu login e senha na página em que você está e dentro do iframe — e isso expõe você a certos riscos.
Em seu relatório, o Flashpoint disse: “Embora o iframe incorporado não tenha acesso a nenhum conteúdo na página pai, ele pode aguardar a entrada no formulário de login e encaminhar as credenciais inseridas para um servidor remoto sem mais interação do usuário”.
Há outra maneira de os hackers roubarem suas senhas. O preenchimento automático do Bitwarden também funciona em subdomínios do domínio que você está tentando acessar, desde que o login corresponda. Isso significa que, se você se deparar com uma página de phishing, com um subdomínio que corresponda ao domínio base para o qual você salvou sua senha, a Bitwarden pode fornecê-la automaticamente ao hacker.
“Alguns provedores de hospedagem de conteúdo permitem hospedar conteúdo arbitrário em um subdomínio de seu domínio oficial, que também serve sua página de login. Por exemplo, se uma empresa tiver uma página de login em https://logins.company.tld e permitir que os usuários forneçam conteúdo em https://<clientname>.company.tld , esses usuários poderão roubar credenciais do Bitwarden extensões”, explicou o Flashpoint.
Esse problema não surgirá em sites grandes e legítimos, mas os serviços de hospedagem gratuitos permitem que esses domínios sejam criados. Ainda assim, ambas as falhas têm uma chance muito pequena de ocorrer, e é por isso que a Bitwarden não corrigiu o problema, apesar de estar ciente disso. Para continuar trabalhando em sites que usam iframes, a Bitwarden precisa deixar essa janela de oportunidade aberta para possíveis phishing e roubo de senha.
Vale a pena notar que o preenchimento automático está desabilitado no Bitwarden por padrão, e a ferramenta alerta os usuários sobre os possíveis riscos ao ativar o recurso. Em resposta ao relatório, a Bitwarden disse que está planejando uma atualização que bloqueará o preenchimento automático em subdomínios.
Se você ainda não estiver usando uma ferramenta como o Bitwarden, verifique nosso guia para os melhores gerenciadores de senhas . Bitwarden está nessa lista e, apesar dessa falha de segurança, ainda merece seu lugar – mas talvez desabilitar o preenchimento automático seja uma boa ideia por enquanto.
