Estás leyendo la publicación: La función de autocompletar de Bitwarden Password Manager es vulnerable al robo de credenciales basado en iframe
Los analistas de seguridad de Flashpoint descubrieron una falla en la función de autocompletar de credenciales de Bitwarden. Bueno, para aquellos que no lo saben, Bitwarden es un servicio gratuito de administración de contraseñas con una extensión para navegadores web que guarda las credenciales del sitio web en una bóveda cifrada.
Continuando, la función de autocompletar de Bitwarden tiene un comportamiento peligroso que podría permitir que un iframe malicioso colocado en sitios web confiables robe las credenciales de los usuarios y las envíe al atacante.
Según la empresa de seguridad, Bitwarden aprendió sobre el problema en 2018, pero aún así elige permitir que sea con sitios web confiables que usan un iframe.
Dicho esto, sin embargo, la función de autocompletar no está activa de forma predeterminada y el estado de utilización no es gran cosa. Sin embargo, algunos sitios web cumplen con el requisito y cualquier actor de amenaza rápido intentará explotar estas fallas.
Bueno, un usuario visita un sitio web, la extensión del administrador de contraseñas escanea si hay un inicio de sesión almacenado para el dominio y ofrece completar las credenciales, y si el autocompletar está activado, lo completa automáticamente a medida que la página se carga sin el usuario. tener que hacer nada.
Ahora, después de analizar Bitwarden, el analista de la firma de seguridad descubrió que la extensión también completa automáticamente los formularios especificados en el iframe integrado, incluso aquellos del dominio exterior.
Aunque el iframe no tiene acceso al contenido de la página principal, espera el formulario de inicio de sesión y luego reenvía las credenciales agregadas por el usuario a un servidor remoto sin más interacciones del usuario, dice Punto de inflamabilidad.
Leer: Los actores de amenazas aprovechan la popularidad de ChatGPT de OpenAI para distribuir malware
Además, Flashpoint investigó con qué frecuencia se coloca el iframe en la página de inicio de sesión de sitios web con mucho tráfico y dijo que la cantidad de casos de riesgo es baja, lo que reduce notablemente los riesgos.
Sin embargo, todavía hay un segundo problema que la empresa de seguridad encontró mientras investigaba el problema del iframe. Bueno, el servicio de administración de contraseñas también completa automáticamente las credenciales en los subsitios web del sitio web principal que coinciden con el inicio de sesión.
Esto indica que si el atacante ha alojado una página de phishing en el subdominio que coincide con el inicio de sesión almacenado del dominio base, robará las credenciales del usuario que visita el sitio web si la función de autocompletar está activada.
En un informe, Flashpoints menciona que algunos alojamientos de contenido permiten alojar contenido arbitrario bajo un subdominio de su dominio oficial, que también sirve como página de inicio de sesión.
Por ejemplo, una empresa tiene una página de inicio de sesión en y permite a los usuarios servir contenido bajo ; estos usuarios pudieron robar las credenciales de la extensión Bitwarden
Bueno, después de todo esto, Bitwiden ha reconocido que la función de autocompletar es un riesgo potencial y también incluye una advertencia en su declaración, mencionando particularmente la posibilidad de que los sitios infectados exploten la función de autocompletar para robar credenciales.
Aunque la falla salió a la luz en una evaluación de seguridad realizada en noviembre de 2018, la compañía ya está al tanto del problema desde hace algún tiempo.
Dado que el usuario necesita iniciar sesión en el servicio utilizando el iframe instalado desde un dominio externo, los desarrolladores de Bitwarden decidieron mantener esto sin cambios y agregar una advertencia en la declaración del software y la configuración aplicable de la extensión.
En respuesta al segundo informe de la empresa de seguridad sobre el manejo de URL y cómo el autocompletar controla el subdominio, la compañía aseguró bloquear el autocompletar en el alojamiento informado en una actualización, pero no planea cambiar la funcionalidad del iframe.
Leer: Fuga de BidenCash: más de 2 millones de tarjetas de crédito/débito con información personal expuesta