Bitwarden: furto delle password con iframe

Bitwarden: furto delle password con iframe

L'estensione per browser di Bitwarden utilizza la compilazione della password anche se il form è inserito in un iframe con dominio differente.
Bitwarden: furto delle password con iframe
L'estensione per browser di Bitwarden utilizza la compilazione della password anche se il form è inserito in un iframe con dominio differente.

I ricercatori di Flashpoint hanno scoperto una vulnerabilità nella funzionalità di inserimento automatico dell’estensione per browser di Bitwarden. Per scelta progettuale viene consentito l’auto-fill in form di login inseriti negli iframe della pagina web. Ciò potrebbe consentire ai cybercriminali di rubare le password. Gli utenti non dovrebbero quindi attivare la funzionalità per evitare rischi.

Attenzione alla compilazione automatica

La funzionalità incriminata di Bitwarden si chiama “Auto-fill on page load” e consente di inserire automaticamente le credenziali di login al caricamento della pagina. In pratica, se l’estensione del browser rileva che l’indirizzo del sito corrisponde a quello memorizzato, la password viene inserita in automatico.

Gli esperti di Flashpoint hanno scoperto che l’estensione inserisce la password anche nei form inclusi in un iframe con differente dominio, come si può vedere nell’immagine:

Bitwarden auto-fill iframe

Un malintenzionato potrebbe aggiungere un iframe ad un sito e rubare le credenziali inserite automaticamente dall’estensione di Bitwarden. Fortunatamente i siti più popolari non usano iframe, quindi il rischio è limitato.

I ricercatori hanno tuttavia scoperto un secondo problema. La suddetta funzionalità consente anche di compilare i form ospitati nei sottodomini. Ciò consentirebbe di rubare le credenziali attraverso una pagina di phishing ospitata su un sottodominio (registrato dal cybercriminale) che sembra quello legittimo.

Bitwarden ha risposto ai ricercatori, evidenziando che la funzionalità “Auto-fill on page load” è disattivata per impostazione predefinita e che viene mostrato un avviso quando attivata. La funzionalità non verrà modificata perché usata da alcuni siti (ad esempio, icloud.com usa un iframe da apple.com).

Fonte: Flashpoint
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 10 mar 2023
Link copiato negli appunti