Функция автозаполнения менеджера паролей Bitwarden уязвима для кражи учетных данных на основе iframe

Аналитики безопасности компании Flashpoint обнаружили уязвимость в функции автозаполнения учетных данных Bitwarden. Для тех, кто не в курсе, Bitwarden — это бесплатный менеджер паролей с расширением для веб-браузеров, которое хранит учетные данные сайта в зашифрованном хранилище.

Далее, функция автозаполнения Bitwarden имеет опасное поведение, которое может позволить злонамеренному iframe, размещенному на доверенных сайтах, украсть учетные данные пользователей и отправить их злоумышленнику.

По данным компании безопасности, Bitwarden узнал о проблеме в 2018 году, но по-прежнему решает оставить ее с доверенными сайтами, использующими iframe.

Сказав это, стоит отметить, что функция автозаполнения по умолчанию не активна, и случаи ее использования не так уж многочисленны. Тем не менее, некоторые сайты соответствуют требованиям, и любой злоумышленник попытается воспользоваться этими уязвимостями.

Когда пользователь посещает сайт, расширение менеджера паролей сканирует, есть ли сохраненный логин для домена, и предлагает заполнить учетные данные, а если автозаполнение включено, оно заполняет их автоматически по мере загрузки страницы, не требуя от пользователя никаких действий.

Теперь, после анализа Bitwarden, аналитик компании безопасности обнаружил, что расширение также заполняет формы, указанные в встроенном iframe, даже те, что с внешнего домена.

Хотя iframe не имеет доступа к содержимому на главной странице, он ждет формы входа и затем пересылает учетные данные, введенные пользователем, на удаленный сервер без дальнейших взаимодействий пользователя, говорит Flashpoint.

Читать: Злоумышленники используют популярность ChatGPT от OpenAI для распространения вредоносного ПО

Более того, Flashpoint исследовал, как часто iframe размещается на странице входа сайтов с высоким трафиком, и заявил, что количество рискованных случаев невелико, что значительно снижает риски.

Тем не менее, существует еще одна проблема, которую компания безопасности обнаружила во время расследования проблемы с iframe. Менеджер паролей также заполняет учетные данные на подсайтах основного сайта, соответствующих логину.

Это указывает на то, что если злоумышленник разместил фишинговую страницу под субдоменом, который соответствует сохраненному доменному логину основного домена, он украдет учетные данные пользователя, посещающего сайт, если функция автозаполнения включена.

В отчете Flashpoint упоминается, что некоторые хостинги контента позволяют размещать произвольный контент под субдоменом их официального домена, который также служит страницей входа.

Например, у предприятия есть страница входа по адресу http: //login.company.tld и позволяет пользователям размещать контент под https://; эти пользователи смогли украсть учетные данные из расширения Bitwarden.

После всего этого Bitwarden признал, что функция автозаполнения представляет собой потенциальный риск и также включает предупреждение в своем заявлении, особенно упоминая возможность зараженных сайтов использовать функцию автозаполнения для кражи учетных данных.

Хотя уязвимость была выявлена в ходе оценки безопасности, проведенной в ноябре 2018 года, компания уже некоторое время осведомлена о проблеме.

Поскольку пользователю необходимо войти в сервис, используя встроенный iframe с внешнего домена, разработчики Bitwarden решили оставить это без изменений и добавить предупреждение в декларацию программного обеспечения и применимые настройки расширения.

Отвечая на второй отчет компании безопасности о обработке URL и о том, как автозаполнение контролирует субдомен, компания заверила, что заблокирует автозаполнение на сообщенном хостинге в обновлении, но не планирует изменять функциональность iframe.

Читать: Утечка BidenCash: более 2 миллионов кредитных/дебетовых карт с личной информацией раскрыты