3519 подписчиков
#news Исследователи сообщают об уязвимости в менеджере паролей Bitwarden, которая позволяет злоумышленникам красть пароли при автозаполнении. Приложение заполняет встроенные фреймы с формами для данных доступа, даже если они на внешних доменах. Так что фишинговая страница на поддомене сайта, для которого сохранены логин и пароль, может стянуть их у юзера без дополнительных действий с его стороны.
Между тем возможностей для подобных атак не так много – обзавестись поддоменом легитимного сайта мало где дадут. В Bitwarden же об этом риске знают с 2018-го, но фичу оставили для особо ленивых, приводя в пример icloud.com на домене apple.com. Плюс автозаполнение по дефолту у них отключено, и плашка с предупреждением о его опасности там висит неспроста. Так что ничего менять они не собираются. Но число желающих пользоваться этой фичей, надеюсь, теперь всё же поубавится.
Около минуты
9 марта 2023