Altı şifre yöneticisinin kritik bir kusuru var. Bu güvenlik açığını tuzağa düşmüş bir web sayfasıyla kullanarak, bir hacker kişisel verilerinizi ve banka kartınızdaki bilgileri çalabilir.
Güvenlik Araştırmacısı Marek Tóth, Main'de bir kusur keşfetti Şifre Yöneticileri pazar. Uzman DEF Con 33'teki bir konferans sırasında açıkladığı gibi, güvenlik açığı, CVV kodu dahil olmak üzere hesap kimlik bilgilerini, iki faktör ve kredi kartı verilerini çalmayı mümkün kılar.
Ayrıca okuyun: Bu 5 Android şifre yöneticilerinin büyük bir güvenlik sorunu var
Parola yöneticileri verilerinizi nasıl açıklayabilir?
Somut olarak, bir saldırgan bir “tıklama” işlemi gerçekleştirme hatasını kullanabilir. Bu sırada bir siber saldırı Bir Korsan Kullanıcı, bir şeyi fark etmeden tıklaması ve hassas verilere erişim sağlaması için kullanıcı.
Bu durumda, saldırgan hedefi etkinleştirecek bir düğmeye tıklayacaktır. Kendini dolduran şifre yöneticisi. Korsan, amaçlarını elde etmek için görünmez HTML öğelerini içeren tuzağa düşmüş bir web sayfasına dikkat etmelidir. Çerez afişleri, açılır pencereler veya false captha gibi bu öğeler, hedefi aldatmak ve zararsız görünen bir düğmeye tıklamak için tasarlanmıştır. Bu kötü niyetli siteyi ziyaret ederek, kurban bilgisine duyarlı bir dizi veriyi iletir. Bir siteyi tuzağa düşürmek için saldırgan bir XSS hatası (siteler arası komut dosyası) kullanabilir. Üçüncü bir tarafa izin verir D 'Bir siteye kendi JavaScript kodunuzu enjekte edin.
Ayrıca okuyun: Dikkat edin, zorlu bir kötü amaçlı yazılım şifre yöneticileri ile mücadele
Altı şifre yöneticisi her zaman savunmasız
Araştırmacı test etti On bir yönetici Şifrelerin, yani Trousseau Icloud, LastPass, Bitwarden, 1Password, Dashlane, Keeper, Nordpass, Proton Pass, Roboform, Enpass ve Logmeonce. Test edilen tüm yöneticilerin savunmasız olduğunu fark etti.
Bazı yöneticiler, çekimi düzeltmek için derhal önlemler aldı. Dashlane, Keeper, Nordpass, Protonpass ve Roboform için durum böyle. Öte yandan, diğer altı yönetici Hala savunmasızMarek Tóth tarafından Nisan 2025'te verilen uyarılara rağmen.
Soket araştırmacıları Tóth'un sonuçlarını destekleyebildiler. Onlara göre, tarayıcı için 1Password, Bitwarden, Enpass, ICloud Parolaları, LastPass ve Logmeonce sürümleri gerçekten kişisel verileri ifşa etme olasılığı belirli senaryolarda hassas. Toplamda 40 milyondan fazla kullanıcı tehlikede. Rapor, tüm yöneticilere göstermesini tavsiye ediyor “Herhangi bir otomatik dolumdan önce sistematik olarak bir onay penceresi”.
Şu anda belirli yöneticilerden güncel düzeltmeler
Risklere rağmen, 1Password keşifin önemini en aza indirerek “Bu web saldırısı tekniği uzun süredir biliniyor ve hem web sitelerini hem de tarayıcı uzantılarını etkiliyor”. Endişe “Her şeyden önce, tarayıcıların sayfaları görüntülemesinden geliyor, bu da tek başına hiçbir uzatma tam bir teknik çözüm sağlayamayacağı anlamına geliyor”Şifre Yöneticisi'ni önceden sorgulayan Bapa Bilgisayar.
1Password “Ödeme bilgilerini otomatik olarak doldurmadan önce onay gerektirir ve bir sonraki sürümümüzde, kullanıcıların diğer veri türleri için onay uyarılarını etkinleştirmeyi seçebilmeleri için bu korumayı genişletiriz”. LastPass ve Logmeonce bir düzeltici üzerinde çalışıyor. 1Password aynasında LastPass, “Banka kartlarının otomatik olarak doldurulmasından önce görüntülenen bir uyarı gibi belirli korumaları veya web sitelerinde kişisel verilerin entegre edilmesi”. Bitwarden, bu hafta konuşlandırılan 2025.8.0 sürümünün hataya tırmanması gerektiğini belirtir.
Tüm yöneticilerin güvenlik açığını düzeltmesini beklerken, Otomatik Dolguyu Devre Dışı Bırak şifre yöneticinizin. Bunun yerine, şifrelerinizi kopyalamak/ yapıştırmak için panodan geçin. Bu geçici önlem, sıkışmış bir web sayfasının kişisel veriler almanız için sizi manipüle etmesini önleyecektir. Dahası, “Otomatik güncellemelerin etkinleştirildiğini ve en son sürümleri kullandığınızı kontrol edin” Yöneticinizden Marek Tóth.
🔴 Herhangi bir 01net haberini kaçırmamak için bizi Google News ve WhatsApp'ta takip edin.
Kaynak :
Marek Tóth
Bir yanıt yazın