Recurso de Preenchimento Automático do Gerenciador de Senhas Bitwarden Vulnerável a Roubo de Credenciais Baseado em iframe

Analistas de Segurança da Flashpoint descobriram uma falha no recurso de preenchimento automático de credenciais do Bitwarden. Bem, para aqueles que não sabem, o Bitwarden é um serviço de gerenciamento de senhas freemium com uma extensão para navegadores que armazena as credenciais do site em um cofre criptografado.

Seguindo em frente, o recurso de preenchimento automático do Bitwarden possui um comportamento perigoso que pode permitir que iframes maliciosos plantados em sites confiáveis roubem as credenciais dos usuários e as enviem para o atacante.

De acordo com a empresa de segurança, o Bitwarden soube do problema em 2018, mas ainda opta por permitir que ele permaneça em sites confiáveis que usam um iframe.

Dito isso, o recurso de preenchimento automático não está ativo por padrão, e o estado de sua utilização não é muito alto. No entanto, alguns sites atendem ao requisito, e qualquer ator de ameaça oportuno tentará explorar essas falhas.

Bem, um usuário visita um site, a extensão do gerenciador de senhas verifica se há um login armazenado para o domínio e oferece preencher as credenciais, e se o preenchimento automático estiver ativado, ele preenche automaticamente à medida que a página carrega, sem que o usuário precise fazer nada.

Agora, após analisar o Bitwarden, o analista da empresa de segurança descobriu que a extensão também preenche automaticamente formulários especificados no iframe incorporado, mesmo aqueles de um domínio externo.

Embora o iframe não tenha acesso ao conteúdo na página principal, ele aguarda o formulário de login e, em seguida, encaminha as credenciais adicionadas pelo usuário para um servidor remoto sem mais interações do usuário, diz a Flashpoint.

Leia: Atores de Ameaça Exploraram a Popularidade do ChatGPT da OpenAI para Distribuir Malware

Além disso, a Flashpoint investigou com que frequência o iframe é plantado na página de login de sites com alto tráfego e disse que a quantidade de casos arriscados é baixa, reduzindo notavelmente os riscos.

No entanto, ainda há um segundo problema que a empresa de segurança encontrou enquanto investigava a questão do iframe. Bem, o serviço de gerenciamento de senhas também preenche automaticamente as credenciais nos sub-sites do site principal que correspondem ao login.

Isso indica que, se o atacante hospedou uma página de phishing sob o subdomínio que corresponde ao login do domínio armazenado do domínio base, ele roubará as credenciais do usuário que visita o site se o recurso de preenchimento automático estiver ativado.

Em um relatório, a Flashpoint menciona que alguns provedores de hospedagem de conteúdo permitem hospedar conteúdo arbitrário sob um subdomínio de seu domínio oficial, que também serve como página de login.

Por exemplo, uma empresa tem uma página de login em http: //login.company.tld e permite que os usuários sirvam conteúdo sob https://; esses usuários conseguiram roubar as credenciais da extensão Bitwarden.

Bem, após tudo isso, o Bitwarden reconheceu que o recurso de preenchimento automático é um risco potencial e também inclui um aviso em sua declaração, mencionando particularmente a possibilidade de sites infectados explorarem o recurso de preenchimento automático para roubar credenciais.

Embora a falha tenha sido trazida à tona em uma avaliação de segurança realizada em novembro de 2018, a empresa já está ciente do problema há algum tempo.

Como o usuário precisa fazer login no serviço usando o iframe plantado de um domínio externo, os desenvolvedores do Bitwarden decidiram manter isso inalterado e adicionar um aviso na declaração do software e nas configurações aplicáveis da extensão.

Respondendo ao segundo relatório da empresa de segurança sobre o manuseio de URL e como o preenchimento automático controla o subdomínio, a empresa garantiu bloquear o preenchimento automático na hospedagem relatada em uma atualização, mas não planeja mudar a funcionalidade do iframe.

Leia: Vazamento do BidenCash: 2M+ Cartões de Crédito/Débito com Informações Pessoais Expostas