研究人员刚刚在流行的密码管理器 Bitwarden 中发现了一个缺陷。如果被利用,该漏洞可能会让黑客获得登录凭据,从而危及各种帐户。
安全分析公司Flashpoint发现了 Bitwarden 中的漏洞。虽然这个问题在过去没有得到太多或任何报道,但 Bitwarden 似乎一直都知道这一点。这是它的工作原理。
潜在的安全风险在于 Bitwarden 的自动填充功能。它允许内联框架 (iframe) 访问您的登录详细信息,如果所述 iframe 被盗用,那么您的凭据也会被盗用。 iframe 是一种 HTML 元素,它允许开发人员在您当前所在的页面中嵌入不同的网页。它们通常用于嵌入广告、视频或网络分析。
根据 Flashpoint 的说法,在包含 iframe 的页面上使用启用了自动填充功能的 Bitwarden 可能会导致密码被盗。这是因为自动填充会在您所在的页面上和 iframe 内自动填写您的登录名和密码,这会使您面临某些风险。
Flashpoint 在其报告中说:“虽然嵌入式 iframe 无法访问父页面中的任何内容,但它可以等待登录表单的输入并将输入的凭据转发到远程服务器,而无需进一步的用户交互。”
不过,黑客还有另一种方法可以窃取您的密码。只要登录匹配,Bitwarden 的自动填充功能也适用于您尝试访问的域的子域。这意味着,如果您偶然发现一个网络钓鱼页面,其中的子域与您为其保存密码的基本域相匹配,Bitwarden 可能会自动将其提供给黑客。
“一些内容托管提供商允许在其官方域的子域下托管任意内容,该子域也为他们的登录页面提供服务。例如,如果一家公司在 https://logins.company.tld 有一个登录页面并允许用户在https://<clientname>.company.tld下提供内容,这些用户就能够从 Bitwarden 窃取凭据扩展,”Flashpoint 解释道。
这个问题不会出现在合法的大型网站上,但免费托管服务允许创建此类域。尽管如此,这两个缺陷发生的可能性都非常小,这就是为什么 Bitwarden 尽管意识到了这个问题但仍未解决的原因。为了继续在使用 iframe 的网站上工作,Bitwarden 不得不为可能的网络钓鱼和密码盗窃留下这个机会之窗。
值得注意的是,默认情况下,Bitwarden 中的自动填充是禁用的,并且该工具确实会在用户打开该功能时警告用户可能存在的风险。作为对该报告的回应,Bitwarden 表示它正在计划更新以阻止子域的自动填充。
如果您还没有使用像 Bitwarden 这样的工具,请务必查看我们的最佳密码管理器指南。 Bitwarden 就在那个名单上,尽管存在这个安全漏洞,它仍然值得拥有它的位置——但也许暂时禁用自动填充可能是个好主意。