Você está visualizando atualmente Credenciais preenchidas automaticamente por gerenciadores de senhas populares em sites não confiáveis

Credenciais preenchidas automaticamente por gerenciadores de senhas populares em sites não confiáveis

John Leyden 20 de janeiro de 2023 às 12:09 UTC
Atualizado: 20 de janeiro de 2023 às 12h12 UTC

Dashlane, Bitwarden e Safari, todos citados por pesquisadores do Google

Deficiências de segurança significam que vários gerenciadores de senhas podem ser induzidos a preencher credenciais automaticamente em páginas não confiáveis, alertam pesquisadores de segurança do Google.

A equipe do Google divulgou suas descobertas na terça-feira (17 de janeiro), 90 dias depois de notificar os aplicativos – Dashlane, Bitwarden e o gerenciador de senhas integrado ao navegador Safari da Apple – sobre as vulnerabilidades.

Tanto o Dashlane quanto o Bitwarden atualizaram seus softwares, embora o Dashlane, pelo menos, não esteja convencido de que o bug represente qualquer tipo de ameaça à segurança. O status de qualquer correção para o gerenciador de senhas integrado do Safari da Apple permanece não confirmado no momento da redação. O Daily Swig pediu à Apple para comentar e atualizaremos esta história quando mais informações surgirem.

Fique por dentro das últimas notícias sobre pesquisa de segurança cibernética

As deficiências de segurança descritas pelo Google significam que os gerenciadores de senhas vulneráveis preenchem automaticamente as credenciais em páginas não confiáveis, sem primeiro exigir que os usuários insiram sua senha mestra.

Um comunicado do Google explica que o problema surge em dois cenários: onde as páginas da web têm um cabeçalho de resposta de sandbox CSP (política de segurança de conteúdo) ou onde os formulários estão dentro de um iframe em sandbox.

O preenchimento automático por gerenciadores de senhas não deve ocorrer em nenhum dos cenários, mas todos os aplicativos afetados falham nesse aspecto ao encontrar conteúdo em área restrita. Outros gerenciadores de senhas (incluindo LastPass, 1Password e a tecnologia de cofre de senhas do Google Chrome) evitam esse erro, disse o Google.

“Gerenciadores de senhas devem verificar se o conteúdo está em sandbox antes de preencher automaticamente as credenciais. Isso pode ser feito de várias maneiras, mas uma delas é verificar self.origin de uma página e recusar-se a preencher as credenciais se self.origin for ‘nulo’”, de acordo com o comunicado do Google.

impacto no mundo real

Em resposta a uma consulta do The Daily Swig, a Bitwarden confirmou que o problema foi resolvido por meio de uma solicitação pull recente. Dashlane disse ao The Daily Swig que também atualizou sua tecnologia, embora não esteja convencido de que haja um problema substantivo em jogo.

“Mudamos o comportamento após o relatório (portanto, o comunicado é enganoso)”, disse Dashlane. “Também não acreditamos que tenha sido um problema real para começar (o autor não detalha nenhum cenário de ataque real nem responde às nossas perguntas).”

O Google ainda não respondeu a um pedido do The Daily Swig para responder às críticas de Dashlane sobre os resultados de sua pesquisa.

VOCÊ TAMBÉM PODE GOSTAR Google paga US$ 22.000 a dupla de hackers em recompensas por falhas em vários projetos de nuvem

 

Fonte