Güvenilir olmayan web sitelerinde kimlik bilgilerini otomatik olarak dolduran popüler şifre yöneticileri


John Leyden 20 Ocak 2023, 12:09 UTC

Güncellendi: 20 Ocak 2023, 12:12 UTC

Dashlane, Bitwarden ve Safari’nin tümü Google araştırmacıları tarafından alıntılanmıştır

Google, en az üç şifre yönetimi yardımcı programındaki tartışmalı güvenlik açıklarını kamuoyuna açıkladı

Google’daki güvenlik araştırmacıları, güvenlik eksikliklerinin, birden fazla şifre yöneticisinin kandırılarak güvenilmeyen sayfalarda kimlik bilgilerini otomatik doldurması anlamına gelebileceği anlamına geliyor.

Google ekibi, Dashlane, Bitwarden ve Apple’ın Safari tarayıcısıyla birlikte gelen yerleşik şifre yöneticisi gibi uygulamalara güvenlik açıklarını bildirdikten 90 gün sonra, 17 Ocak Salı günü bulgularını kamuoyuna açıkladı.

Hem Dashlane hem de Bitwarden yazılımlarını güncellediler, ancak en azından Dashlane, hatanın herhangi bir güvenlik tehdidi oluşturduğuna ikna olmadı. Apple’ın Safari yerleşik parola yöneticisi için herhangi bir düzeltmenin durumu, bu yazının yazıldığı sırada doğrulanmamış durumda. günlük yudum Apple’dan yorum yapmasını istedi ve daha fazla bilgi elimize geldikçe bu hikayeyi güncelleyeceğiz.

En son siber güvenlik araştırma haberlerini takip edin

Google tarafından özetlenen güvenlik eksiklikleri, savunmasız şifre yöneticilerinin, kullanıcıların önce ana şifrelerini girmelerini gerektirmeden kimlik bilgilerini güvenilmeyen sayfalara otomatik olarak doldurması anlamına gelir.

Google’dan bir tavsiye belgesi, sorunun iki senaryoda ortaya çıktığını açıklıyor: web sayfalarının bir CSP (içerik güvenlik politikası) korumalı alan yanıt başlığına sahip olduğu veya formların korumalı alanlı bir iframe içinde olduğu yer.

Parola yöneticileri tarafından otomatik doldurma, her iki senaryoda da gerçekleşmemelidir, ancak etkilenen uygulamaların tümü, korumalı alan içeriğiyle karşılaştığında bu açıdan başarısız olur. Google, diğer şifre yöneticilerinin (LastPass, 1Password ve Google Chrome’un şifre kasası teknolojisi dahil) bu hatadan kaçındığını söyledi.

“Parola yöneticileri, kimlik bilgilerini otomatik olarak doldurmadan önce içeriğin korumalı alanda olup olmadığını kontrol etmelidir. Bu birçok şekilde yapılabilir, ancak bir yol kontrol etmektir. self.menşe Google danışma belgesine göre, bir sayfanın ve self.origin ‘null’ ise kimlik bilgilerini doldurmayı reddetme.

Gerçek dünya etkisi

gelen bir sorguya yanıt olarak günlük yudumBitwarden onaylanmış sorunun yakın zamanda yapılan bir çekme isteğiyle çözüldüğünü söyledi. Dashlane söyledi günlük yudum Oyunda önemli bir sorun olduğuna ikna olmamış olmasına rağmen teknolojisini de güncellediğini.

Dashlane, “Raporun ardından davranışı değiştirdik (bu nedenle tavsiye yanıltıcıdır),” dedi. “Başlangıçta bunun gerçek bir sorun olduğuna da inanmıyoruz (yazar herhangi bir gerçek saldırı senaryosunu detaylandırmıyor veya sorularımızı yanıtlamıyor).

Google henüz bir talebe yanıt vermedi günlük yudum Dashlane’in araştırma bulgularına yönelik eleştirilerine yanıt vermek için.

ŞUNLAR DA HOŞUNUZA GİDEBİLİR Google, hacker ikilisine birden çok bulut projesindeki kusurlar için hata ödüllerinde 22 bin dolar ödüyor





Source link