Bitwarden パスワードマネージャーの自動入力機能が iframe ベースの認証情報盗難に脆弱

Flashpoint のセキュリティアナリストは、Bitwarden の認証情報自動入力機能に欠陥を発見しました。知らない方のために説明すると、Bitwarden は、ウェブブラウザ用の拡張機能を持つフリーミアムのパスワード管理サービスで、ウェブサイトの認証情報を暗号化されたボールトに保存します。

次に、Bitwarden の自動入力機能には、信頼されたウェブサイトに埋め込まれた悪意のある iframe がユーザーの認証情報を盗み、攻撃者に送信する可能性がある危険な動作があります。

セキュリティ企業によると、Bitwarden は 2018 年にこの問題を認識しましたが、依然として iframe を使用する信頼されたウェブサイトでの使用を許可することを選択しています。

とはいえ、自動入力機能はデフォルトではアクティブではなく、それを利用する状態はあまり多くありません。しかし、一部のウェブサイトは要件を満たしており、どんな脅威のある行為者もこれらの欠陥を悪用しようとするでしょう。

ユーザーがウェブサイトを訪れると、パスワードマネージャーの拡張機能がそのドメインに保存されたログインがあるかどうかをスキャンし、認証情報を入力する提案を行います。そして、自動入力がオンになっている場合、ページが読み込まれると自動的に入力され、ユーザーは何もする必要がありません。

さて、Bitwarden を分析した後、セキュリティ企業のアナリストは、拡張機能が埋め込まれた iframe で指定されたフォームも自動入力することを発見しました。外部ドメインからのものも含まれています。

Flashpoint は、iframe が高トラフィックのウェブサイトのログインページにどれくらい頻繁に埋め込まれているかを調査し、リスクのあるケースの数は少なく、リスクが著しく低下していると述べています。

しかし、セキュリティ企業が iframe の問題を調査している間に見つけた第二の問題もあります。パスワード管理サービスは、メインウェブサイトのサブウェブサイトに一致するログインの認証情報も自動入力します。

これは、攻撃者がベースドメインの保存されたドメインログインに一致するサブドメインの下にフィッシングページをホストしている場合、ユーザーがウェブサイトを訪れると、認証情報を盗むことを示しています。自動入力機能がオンになっている場合です。

Flashpoint の報告書では、一部のコンテンツホスティングが公式ドメインのサブドメインの下に任意のコンテンツをホストすることを許可しており、それがログインページとしても機能していると述べています。

例えば、企業が http: //login.company.tld にログインページを持ち、ユーザーが https:// の下にコンテンツを提供できる場合、これらのユーザーは Bitwarden 拡張機能から認証情報を盗むことができました。

さて、これらすべての後、Bitwarden は自動入力機能が潜在的なリスクであることを認め、特に感染したサイトが自動入力機能を悪用して認証情報を盗む可能性について警告を含めています。

この欠陥は、2018 年 11 月に行われたセキュリティ評価で明らかにされましたが、会社はすでにこの問題をしばらくの間認識しています。

ユーザーが外部ドメインから埋め込まれた iframe を使用してサービスにログインする必要があるため、Bitwarden の開発者はこれを変更せず、ソフトウェアの宣言と拡張機能の適用設定に警告を追加することに決めました。

セキュリティ企業の URL 処理と自動入力がサブドメインをどのように制御するかに関する第二の報告に応じて、会社は報告されたホスティングでの自動入力をブロックすることを更新で保証しましたが、iframe 機能を変更する計画はありません。

読む: BidenCash 漏洩: 2M+ クレジット/デビットカードの個人情報が公開されました