March 29, 2023


Bitwarden

Fitur pengisian otomatis kredensial Bitwarden berisi perilaku berisiko yang memungkinkan iframe berbahaya yang disematkan di situs web tepercaya untuk mencuri kredensial orang dan mengirimkannya ke penyerang.

Masalah tersebut dilaporkan oleh analis di Flashpoint, yang mengatakan Bitwarden pertama kali mengetahui masalah tersebut pada tahun 2018 tetapi memilih untuk mengizinkannya mengakomodasi situs sah yang menggunakan iframe.

Meskipun fitur isi otomatis dinonaktifkan di Bitwarden secara default, dan kondisi untuk mengeksploitasinya tidak banyak, Flashpoint mengatakan masih ada situs web yang memenuhi persyaratan di mana pelaku ancaman yang termotivasi dapat mencoba mengeksploitasi kelemahan ini.

(Tidak) pengisian otomatis bersyarat

Bitwarden adalah layanan manajemen kata sandi sumber terbuka yang populer dengan ekstensi browser web yang menyimpan rahasia seperti nama pengguna dan kata sandi akun di brankas terenkripsi.

Saat penggunanya mengunjungi situs web, ekstensi mendeteksi jika ada info masuk tersimpan untuk domain tersebut dan menawarkan untuk mengisi kredensial. Jika opsi isi-otomatis diaktifkan, itu mengisinya secara otomatis saat halaman dimuat tanpa pengguna harus melakukan apa pun.

Saat menganalisis Bitwarden, peneliti Flashpoint menemukan bahwa ekstensi juga mengisi formulir secara otomatis yang ditentukan dalam iframe tersemat, bahkan yang berasal dari domain eksternal.

Mengisi formulir login situs web yang sah dan iframe eksternal
Mengisi formulir login situs web yang sah dan iframe eksternal (Titik nyala)

“Sementara iframe tersemat tidak memiliki akses ke konten apa pun di halaman induk, ia dapat menunggu input ke formulir login dan meneruskan kredensial yang dimasukkan ke server jarak jauh tanpa interaksi pengguna lebih lanjut,” Flashpoint menjelaskan.

Flashpoint menyelidiki seberapa sering iframe disematkan pada halaman masuk situs web dengan lalu lintas tinggi dan melaporkan bahwa jumlah kasus berisiko sangat rendah, sehingga mengurangi risiko secara signifikan.

Namun, masalah kedua yang ditemukan oleh Flashpoint saat menyelidiki masalah iframe adalah bahwa Bitwarden juga akan mengisi kredensial secara otomatis pada subdomain dari domain dasar yang cocok dengan login.

Ini berarti penyerang yang menghosting halaman phishing di bawah subdomain yang cocok dengan login tersimpan untuk domain dasar tertentu akan mengambil kredensial saat korban mengunjungi halaman tersebut jika isi otomatis diaktifkan.

“Beberapa penyedia hosting konten mengizinkan hosting konten sewenang-wenang di bawah subdomain dari domain resmi mereka, yang juga melayani halaman login mereka,” jelas Flashpoint di laporan.

“Sebagai contoh, jika perusahaan memiliki halaman login di https://logins.company.tld dan mengizinkan pengguna menyajikan konten di bawah https://.company.tld, pengguna ini dapat mencuri kredensial dari Ekstensi bitwarden.”

Mendaftarkan subdomain yang cocok dengan domain dasar situs web yang sah tidak selalu memungkinkan, sehingga tingkat keparahan masalahnya berkurang.

Namun, beberapa layanan memungkinkan pengguna membuat subdomain untuk menghosting konten, seperti layanan hosting gratis, dan serangan masih dimungkinkan melalui pembajakan subdomain.

Tanggapan Bitwarden

Bitwarden menyoroti bahwa fitur IsiOtomatis adalah potensi risiko dan bahkan menyertakan peringatan yang menonjol di dalamnya dokumentasisecara khusus menyebutkan kemungkinan situs yang disusupi menyalahgunakan fitur IsiOtomatis untuk mencuri kredensial.

Peringatan tentang bahaya pengisian otomatis dalam dokumentasi Bitwarden
Peringatan tentang bahaya pengisian otomatis dalam dokumentasi Bitwarden (Komputer Bleeping)

Risiko ini pertama kali terungkap dalam a penilaian keamanan tertanggal November 2018, jadi Bitwarden telah mengetahui masalah keamanan untuk beberapa waktu sekarang.

Namun, karena pengguna harus masuk ke layanan menggunakan iframe yang disematkan dari domain eksternal, insinyur Bitwarden memutuskan untuk tidak mengubah perilaku dan menambahkan peringatan pada dokumentasi perangkat lunak dan menu pengaturan ekstensi yang relevan.

Peringatan tentang setelan pengisian otomatis ekstensi
Peringatan tentang setelan pengisian otomatis ekstensi
(Komputer Bleeping)

Menanggapi laporan kedua Flashpoint tentang penanganan URI dan bagaimana pengisian otomatis memperlakukan subdomain, Bitwarden berjanji untuk memblokir pengisian otomatis di lingkungan hosting yang dilaporkan di pembaruan mendatang, tetapi tidak berencana untuk mengubah fungsionalitas iframe.

Saat BleepingComputer menghubungi Bitwarden tentang risiko keamanan, mereka mengonfirmasi bahwa mereka telah mengetahui masalah ini sejak 2018 tetapi belum mengubah fungsinya karena formulir login di situs resmi menggunakan iframe.

Bitwarden menerima pengisian otomatis iframe karena banyak situs web populer menggunakan model ini, misalnya icloud.com menggunakan iframe dari apple.com,” kata Bitwarden kepada BleepingComputer dalam sebuah pernyataan.

“Jadi, ada kasus penggunaan yang benar-benar valid di mana formulir masuk berada dalam iframe di bawah domain yang berbeda.”

“Fitur yang dijelaskan untuk pengisian otomatis di posting blog TIDAK diaktifkan secara default di Bitwarden dan ada pesan peringatan pada fitur tersebut karena alasan ini di dalam produk, dan di dalam dokumentasi bantuan. https://bitwarden.com/help/auto-fill-browser/#on-page-load.”

Leave a Reply

Your email address will not be published. Required fields are marked *