Bitwarden Passwortmanager Autofill-Funktion anfällig für iframe-basierten Credential-Diebstahl

Sicherheitsanalysten von Flashpoint entdeckten einen Fehler bei der Autofill-Funktion für Anmeldedaten von Bitwarden. Nun, für diejenigen, die es nicht wissen, Bitwarden ist ein Freemium-Passwortverwaltungsdienst mit einer Erweiterung für Webbrowser, die die Anmeldedaten der Website in einem verschlüsselten Tresor speichert.

Weiterhin hat die Autofill-Funktion von Bitwarden ein gefährliches Verhalten, das es böswilligen iframes, die auf vertrauenswürdigen Websites platziert sind, ermöglichen könnte, die Anmeldedaten der Benutzer zu stehlen und sie an den Angreifer zu senden.

Laut der Sicherheitsfirma erfuhr Bitwarden 2018 von dem Problem, entschied sich jedoch weiterhin, es bei vertrauenswürdigen Websites zuzulassen, die ein iframe verwenden.

Das gesagt, ist die Autofill-Funktion jedoch standardmäßig nicht aktiv, und der Zustand ihrer Nutzung ist nicht hoch. Einige Websites erfüllen jedoch die Anforderungen, und jeder bedrohliche Akteur wird versuchen, diese Schwächen auszunutzen.

Wenn ein Benutzer eine Website besucht, scannt die Erweiterung des Passwortmanagers, ob es eine gespeicherte Anmeldung für die Domain gibt, und bietet an, die Anmeldedaten auszufüllen. Wenn die Autofill-Funktion aktiviert ist, füllt sie automatisch aus, während die Seite lädt, ohne dass der Benutzer etwas tun muss.

Nach der Analyse von Bitwarden stellte der Analyst der Sicherheitsfirma fest, dass die Erweiterung auch Formulare ausfüllt, die im eingebetteten iframe angegeben sind, selbst solche von einer externen Domain.

Obwohl das iframe keinen Zugriff auf den Inhalt der Hauptseite hat, wartet es auf das Anmeldeformular und leitet dann die vom Benutzer eingegebenen Anmeldedaten ohne weitere Interaktionen des Benutzers an einen Remote-Server weiter, sagt Flashpoint.

Lesen: Bedrohliche Akteure nutzen die Popularität von OpenAI’s ChatGPT aus, um Malware zu verbreiten

Darüber hinaus untersuchte Flashpoint, wie oft das iframe auf der Anmeldeseite von stark frequentierten Websites platziert wird, und stellte fest, dass die Anzahl der riskanten Fälle gering ist, was die Risiken erheblich senkt.

Es gibt jedoch ein zweites Problem, das die Sicherheitsfirma während ihrer Untersuchung des iframe-Problems fand. Nun, der Passwortverwaltungsdienst füllt auch die Anmeldedaten auf den Unterwebseiten der Hauptwebsite aus, die mit der Anmeldung übereinstimmen.

Dies deutet darauf hin, dass, wenn der Angreifer eine Phishing-Seite unter dem Subdomain gehostet hat, die mit der gespeicherten Domainanmeldung der Basisdomain übereinstimmt, die Anmeldedaten des Benutzers, der die Website besucht, gestohlen werden, wenn die Autofill-Funktion aktiviert ist.

In einem Bericht erwähnt Flashpoint, dass einige Content-Hosting-Anbieter das Hosting beliebiger Inhalte unter einem Subdomain ihrer offiziellen Domain erlauben, die auch als Anmeldeseite dient.

Zum Beispiel hat ein Unternehmen eine Anmeldeseite unter http://login.company.tld und lässt Benutzer Inhalte unter https:// bereitstellen; diese Benutzer konnten die Anmeldedaten von der Bitwarden-Erweiterung stehlen.

Nun, nach all dem hat Bitwarden anerkannt, dass die Autofill-Funktion ein potenzielles Risiko darstellt und auch eine Warnung in seiner Erklärung enthält, die insbesondere die Möglichkeit erwähnt, dass infizierte Seiten die Autofill-Funktion ausnutzen, um Anmeldedaten zu stehlen.

Obwohl der Fehler in einer Sicherheitsbewertung, die im November 2018 durchgeführt wurde, ans Licht kam, ist das Unternehmen sich des Problems bereits seit einiger Zeit bewusst.

Da der Benutzer sich über das platzierte iframe von einer externen Domain in den Dienst einloggen muss, entschieden sich die Entwickler von Bitwarden, dies unverändert zu lassen und eine Warnung in der Erklärung der Software und den anwendbaren Einstellungen der Erweiterung hinzuzufügen.

Als Antwort auf den zweiten Bericht der Sicherheitsfirma über die URL-Verwaltung und wie die Autofill-Funktion die Subdomain steuert, versicherte das Unternehmen, die Autofill-Funktion auf dem gemeldeten Hosting in einem Update zu blockieren, plant jedoch nicht, die iframe-Funktionalität zu ändern.

Lesen: BidenCash-Leck: 2M+ Kredit-/Debitkarten mit persönlichen Informationen exponiert