La fonctionnalité de remplissage automatique des informations d’identification de Bitwarden contient un comportement risqué qui pourrait permettre à des iframes malveillants intégrés dans des websites Net de confiance de voler les informations d’identification des personnes et de les envoyer à un attaquant.
Le problème a été signalé par des analystes de Flashpoint, qui ont déclaré que Bitwarden avait appris le problème pour la première fois en 2018, mais avait choisi de lui permettre d’accueillir des websites légitimes utilisant des iframes.
Bien que la fonction de remplissage automatique soit désactivée sur Bitwarden par défaut et que les situations pour l’exploiter ne soient pas abondantes, Flashpoint indique qu’il existe encore des websites Net qui répondent aux exigences sur lesquelles des acteurs malveillants motivés peuvent tenter d’exploiter ces failles.
Remplissage automatique (in)conditionnel
Bitwarden est un service de gestion de mots de passe open supply populaire avec une extension de navigateur Net qui stocke des secrets and techniques tels que les noms d’utilisateur et les mots de passe de compte dans un coffre-fort crypté.
Lorsque ses utilisateurs visitent un web site Net, l’extension détecte s’il existe une connexion stockée pour ce domaine et suggest de remplir les informations d’identification. Si l’possibility de remplissage automatique est activée, elle les remplit automatiquement lors du chargement de la web page sans que l’utilisateur ait à faire quoi que ce soit.
Lors de l’analyse de Bitwarden, les chercheurs de Flashpoint ont découvert que l’extension remplissait également automatiquement les formulaires définis dans les iframes intégrés, même ceux provenant de domaines externes.
« Bien que l’iframe intégré n’ait accès à aucun contenu de la web page guardian, il peut attendre une entrée dans le formulaire de connexion et transmettre les informations d’identification saisies à un serveur distant sans autre interplay de l’utilisateur », explique Flashpoint.
Flashpoint a enquêté sur la fréquence d’intégration des iframes sur les pages de connexion des websites Net à fort trafic et a signalé que le nombre de cas à risque était très faible, ce qui réduisait considérablement le risque.
Cependant, un deuxième problème découvert par Flashpoint lors de l’enquête sur le problème des iframes est que Bitwarden remplira également automatiquement les informations d’identification sur les sous-domaines du domaine de base correspondant à une connexion.
Cela signifie qu’un attaquant hébergeant une web page de phishing sous un sous-domaine qui correspond à une connexion stockée pour un domaine de base donné capturera les informations d’identification lorsque la victime visitera la web page si le remplissage automatique est activé.
« Certains fournisseurs d’hébergement de contenu autorisent l’hébergement de contenu arbitraire sous un sous-domaine de leur domaine officiel, qui sert également leur web page de connexion », explique Flashpoint dans le rapport.
« A titre d’exemple, si une entreprise a une web page de connexion sur https://logins.firm.tld et permet aux utilisateurs de diffuser du contenu sous https://
L’enregistrement d’un sous-domaine qui correspond au domaine de base d’un web site Net légitime n’est pas toujours potential, ce qui réduit la gravité du problème.
Cependant, certains companies permettent aux utilisateurs de créer des sous-domaines pour héberger du contenu, tels que des companies d’hébergement gratuits, et l’attaque est toujours potential by way of le détournement de sous-domaine.
La réponse de Bitwarden
Bitwarden souligne que la fonction de remplissage automatique est un risque potentiel et inclut même un avertissement necessary dans son Documentationmentionnant spécifiquement la probabilité que des websites compromis abusent de la fonctionnalité de remplissage automatique pour voler des informations d’identification.
Ce risque a d’abord été mis en évidence dans un Évaluation de sécurité daté de novembre 2018, Bitwarden est donc conscient du problème de sécurité depuis un sure temps déjà.
Cependant, étant donné que les utilisateurs doivent se connecter aux companies à l’aide d’iframes intégrés à partir de domaines externes, les ingénieurs de Bitwarden ont décidé de garder le comportement inchangé et d’ajouter un avertissement sur la documentation du logiciel et le menu des paramètres pertinents de l’extension.
(Ordinateur Bip)
En réponse au deuxième rapport de Flashpoint sur la gestion des URI et la manière dont le remplissage automatique traite les sous-domaines, Bitwarden a promis de bloquer le remplissage automatique sur l’environnement d’hébergement signalé dans une future mise à jour, mais ne prévoit pas de modifier la fonctionnalité iframe.
Lorsque BleepingComputer a contacté Bitwarden au sujet du risque de sécurité, ils ont confirmé qu’ils étaient au courant de ce problème depuis 2018 mais n’ont pas modifié la fonctionnalité automobile les formulaires de connexion sur les websites légitimes utilisent des iframes.
« Bitwarden accepte le remplissage automatique d’iframe automobile de nombreux websites Net populaires utilisent ce modèle, par exemple icloud.com utilise une iframe de apple.com« , a déclaré Bitwarden à BleepingComputer dans un communiqué.
« Il existe donc des cas d’utilisation parfaitement valides où les formulaires de connexion se trouvent dans un iframe sous un domaine différent. »
« La fonctionnalité décrite pour le remplissage automatique dans le billet de weblog n’est PAS activée par défaut dans Bitwarden et il y a un message d’avertissement sur cette fonctionnalité pour exactement cette raison dans le produit et dans la documentation d’aide. https://bitwarden.com/assist/auto-fill-browser/#on-page-load. »
