Secondo un report di Flashpoint, Bitwarden, senza dubbio uno dei migliori password manager gratuiti, avrebbe alcuni problemi di sicurezza legati alla funzione di compilazione automatica delle credenziali e agli iframe. Stando agli analisti, la società avrebbe scoperto il potenziale problema per la prima volta nel 2018, ma avrebbe lasciato le cose come stanno per non creare problemi su tutti quei siti che usano gli iframe in modo legittimo.
Prima di raccontarvi meglio la notizia, precisiamo che la funzione è disabilitata di default, quindi a meno che non l'abbiate attivata manualmente, non correte alcun rischio. In secondo luogo, gli exploit di questo tipo sono rari, tuttavia esistono comunque siti dove i malintenzionati tentano di sfruttarli.
Quando visitate un sito web, l'estensione di Bitwarden verifica se sono presenti dati di login e, se la funzione di autocompletamento è abilitata, riempie i campi automaticamente al caricamento della pagina. Il problema nasce dal fatto che l'estensione compila automaticamente anche i campi presenti negli iframe embeddati nel sito, anche se hanno un dominio esterno.
Stando a quanto scoperto dai ricercatori, la compilazione automatica agisce anche nei sottodomini: ciò significa che un malintenzionato potrebbe rubare i dati di login a un dominio sfruttando un sottodominio e una pagina di phishing.
"Anche se gli iframe embeddati non hanno accesso a nessun contenuto della pagina originale, possono attendere un input dai campi di login e inoltrare le credenziali a un server remoto senza alcuna interazione da parte dell'utente", spiega Flashpoint. "Alcuni provider permettono l'hosting di contenuti arbitrari in un sottodominio del proprio dominio ufficiale, dov'è presente anche la pagina di login" continua l'azienda. "Ad esempio, se un'azienda ha la pagina di login all'indirizzo logins.company.tld e permette a un utente di hostare qualcosa all'indirizzo <clientname>.company.tld, questo utente potrà rubare le credenziali d'accesso sfruttando Bitwarden".
Anche in questo caso, la gravità della cosa si riduce parecchio se si considera che non è sempre possibile registrare un sottodominio di un dominio legittimo. L'operazione è possibile ad esempio in caso di servizi di hosting gratuito, quindi è sempre meglio fare attenzione.
Bitwarden è a conoscenza del problema e avvisa gli utenti dei rischi in maniera chiara nella propria documentazione. Alla luce di quest'ultimo report, l'azienda bloccherà il completamento automatico per gli ambienti di hosting segnalati con un aggiornamento, ma non sembra intenzionata a modificare la funzionalità legata agli iframe.
"Bitwarden accetta il completamento automatico degli iframe poiché molti siti popolari usano questo modello, come ad esempio apple.com e icloud.com. Ci sono quindi casi d'uso perfettamente validi dove i form di login sono in un iframe con un dominio diverso; la funzionalità di completamento automatico descritta [dal report] non è abilitata di default in Bitwarden e c'è un avviso che avverte dei rischi sia nel software che nella documentazione". Ha dichiarato Bitwarden ai colleghi di BleepingComputer.