O serviço de gerenciamento de senhas de código aberto Bitwarden introduziu um novo menu de preenchimento automático que aborda o risco de credenciais de usuários serem roubadas por meio de campos de formulários maliciosos.
O problema foi destacado quase um ano atrás quando analistas da Flashpoint demonstraram que era possível para invasores injetar iframes falsos em sites legítimos vulneráveis ou subdomínios suscetíveis à invasão.
A resposta do Bitwarden ao risco na época foi que a função de preenchimento automático de iframe deveria permanecer disponível para atender a cenários de uso legítimos, como para icloud.com ou apple.com, mas continuará desativada por padrão.
Os usuários que desejavam ativá-la receberiam um aviso visível sobre o risco de ativar a opção no menu de extensão.
Alguns dias depois, a equipe do Bitwarden anunciou que adicionaria outra camada de segurança, permitindo preenchimentos automáticos de iframe apenas em sites confiáveis e subdomínios do domínio de origem.
Hoje, o gerenciador de senhas introduziu um sistema que incorpora lições aprendidas com desafios de segurança passados, habilitando os usuários a preencherem credenciais de login sem o risco de perder seus dados sensíveis para agentes de phishing.
Especificamente, as seguintes salvaguardas agora garantem a segurança do sistema de preenchimento automático:
O Bitwarden preencherá as credenciais apenas quando um usuário selecionar um campo de formulário, mitigando o risco de preenchimento automático de credenciais em sites maliciosos ou iframes sem o conhecimento do usuário.
Os usuários têm a opção de proteger as informações de login com senha, adicionando outra camada de segurança ao utilizar o preenchimento automático.
Foi conduzido um extenso teste de intrusão de terceiros e para identificar e fechar lacunas de segurança, presumivelmente incluindo aquelas relacionadas a iframes e subdomínios.
Em termos de experiência do usuário, o novo recurso de preenchimento automático foi projetado para manter o preenchimento automático num processo fácil, mantendo o menu em cima de todos os outros elementos visíveis, reposicionando-o com base no tamanho da página e na posição de rolagem, permitindo a navegação pelo teclado e apenas mostrando resultados se o usuário estiver logado na extensão.
Por padrão, o recurso está desativado, mas os usuários podem ativá-lo no ícone de extensão do Bitwarden em 'Configurações' → 'Preenchimento automático', onde podem definir as opções de menu suspenso 'Exibir menu de preenchimento automático nos campos de formulário'.
Para evitar conflitos, é recomendável desativar os recursos de preenchimento automático do seu navegador da web se ele estiver ativado na extensão Bitwarden.
O gerenciador de senhas possui múltiplas opções de preenchimento automático que incluem atalhos de teclado, um menu de contexto dedicado, preenchimento automático na payload da página e preenchimento automático manual.
Os usuários também podem definir parâmetros específicos para as URLs confiáveis que desejam que o Bitwarden forneça a opção de preenchimento automático.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...