La fonctionnalité de remplissage automatique du gestionnaire de mots de passe Bitwarden vulnérable au vol de données d'identification basé sur iframe

Les analystes en sécurité de Flashpoint ont découvert une faille dans la fonctionnalité de remplissage automatique des identifiants de Bitwarden. Eh bien, pour ceux qui ne le savent pas, Bitwarden est un service de gestion de mots de passe freemium avec une extension pour navigateurs web qui conserve les identifiants du site dans un coffre-fort crypté.

En avançant, la fonctionnalité de remplissage automatique de Bitwarden présente un comportement dangereux qui pourrait permettre à un iframe malveillant planté dans des sites de confiance de voler les identifiants des utilisateurs et de les envoyer à l’attaquant.

Selon la société de sécurité, Bitwarden a appris le problème en 2018, mais choisit toujours de le laisser avec des sites de confiance qui utilisent un iframe.

Cela dit, la fonctionnalité de remplissage automatique n’est pas active par défaut, et l’état de son utilisation n’est pas très répandu. Cependant, certains sites répondent aux exigences, et tout acteur de menace opportun essaiera d’exploiter ces failles.

Eh bien, lorsqu’un utilisateur visite un site web, l’extension du gestionnaire de mots de passe vérifie s’il y a un identifiant enregistré pour le domaine et propose de remplir les identifiants, et si le remplissage automatique est activé, il les remplit automatiquement au chargement de la page sans que l’utilisateur ait à faire quoi que ce soit.

Maintenant, après avoir analysé Bitwarden, l’analyste de la société de sécurité a découvert que l’extension remplit également automatiquement les formulaires spécifiés dans l’iframe intégré, même ceux provenant d’un domaine extérieur.

Bien que l’iframe n’ait pas accès au contenu de la page principale, il attend le formulaire de connexion et transmet ensuite les identifiants ajoutés par l’utilisateur à un serveur distant sans aucune autre interaction de l’utilisateur, déclare Flashpoint.

Lire : Les acteurs de la menace exploitent la popularité de ChatGPT d’OpenAI pour distribuer des logiciels malveillants

De plus, Flashpoint a enquêté sur la fréquence à laquelle l’iframe est planté sur la page de connexion des sites web à fort trafic et a déclaré que le nombre de cas risqués est faible, réduisant notablement les risques.

Cependant, il y a encore un deuxième problème que la société de sécurité a trouvé en enquêtant sur le problème de l’iframe. Eh bien, le service de gestion de mots de passe remplit également automatiquement les identifiants sur les sous-sites du site principal correspondant à la connexion.

Cela indique que si l’attaquant a hébergé une page de phishing sous le sous-domaine qui correspond à l’identifiant de domaine enregistré du domaine principal, il volera les identifiants de l’utilisateur visitant le site web si la fonctionnalité de remplissage automatique est activée.

Dans un rapport, Flashpoint mentionne que certains hébergeurs de contenu permettent d’héberger du contenu arbitraire sous un sous-domaine de leur domaine officiel, qui sert également de page de connexion.

Par exemple, une entreprise a une page de connexion à http: //login.company.tld et permet aux utilisateurs de servir du contenu sous https:// ; ces utilisateurs ont pu voler les identifiants de l’extension Bitwarden.

Eh bien, après tout cela, Bitwarden a reconnu que la fonctionnalité de remplissage automatique représente un risque potentiel et inclut également un avertissement dans sa déclaration, mentionnant particulièrement la possibilité que des sites infectés exploitent la fonctionnalité de remplissage automatique pour voler des identifiants.

Bien que la faille ait été mise en lumière dans une évaluation de sécurité réalisée en novembre 2018, la société est déjà au courant du problème depuis un certain temps maintenant.

Puisque l’utilisateur doit se connecter au service en utilisant l’iframe planté d’un domaine externe, les développeurs de Bitwarden ont décidé de ne pas changer cela et d’ajouter un avertissement dans la déclaration du logiciel et les paramètres applicables de l’extension.

Répondant au deuxième rapport de la société de sécurité concernant la gestion des URL et comment le remplissage automatique contrôle le sous-domaine, la société a assuré qu’elle bloquerait le remplissage automatique sur l’hébergement signalé dans une mise à jour mais ne prévoit pas de changer la fonctionnalité de l’iframe.

Lire : Fuite BidenCash : Plus de 2 millions de cartes de crédit/débit avec informations personnelles exposées