Bitwarden — популярный менеджер паролей, доступный в веб-версии или в приложениях для всех основных десктопных и мобильных платформ.
Bitwarden поддерживает удобные функции, облегчающие жизнь пользователям. Одна из таких функций — возможность автоматического заполнения регистрационной информации на сайтах для выполнения автоматического входа. Функционал не включен по умолчанию, но пользователи могут включить его в настройках приложения.
Примечательно, что Bitwarden отображает предупреждение рядом с настройкой о том, что эта функция потенциально может быть использована скомпрометированными или ненадежными веб-сайтами:
Взломанные или недоверенные сайты могут внедрить вредоносный код во время автозаполнения при загрузке страницы.
Исследователи безопасности из Flashpoint обнаружили проблему с автозаполнением, которую можно было использовать для пассивной кражи регистрационной информации. Все, что нужно сделать потенциальной жертве — это посетить специально подготовленный сайт и включить автозаполнение. Решение Bitwarden для автозаполнения работает с iframe, встроенными веб-страницами, а также с поддоменами. Flashpoint отметил, что злоумышленники могут использовать уязвимость для пересылки учетных данных на удаленные серверы.
Bitwarden подготовил исправление
Компания Bitwarden создала исправление уязвимости, которое задокументировано в официальном репозитории компании на GitHub. Инженеры Bitwarden решили эту проблему, изменив принцип работы автозаполнения при загрузке страницы. Функция по-прежнему будет автоматически заполнять данные для входа, но только на доверенных доменах. Когда пользователи заполняют данные вручную, они получают предупреждение, если iframe не является доверенным.
Теперь автозаполнение Bitwarden будет работать следующим образом:
- Автозаполнение при загрузке страницы отключено, как и раньше.
- При включении функции, Bitwarden будет использовать ее только для доверенных доменов и URL-адресов, которые пользователь специально задал в приложении. Доверенные домены включают домены, соответствующие URL-адресу, который пользователь посетил в браузере.
- Пользователи Bitwarden, которые используют автозаполнение вручную, получают предупреждение, если пытаются заполнить данные в ненадежном iframe.
Согласно Bitwarden, это «устраняет вектор атаки iframe, сохраняя при этом удобную функцию автозаполнения для сайтов с доверенными iframe».
Пользователям Bitwarden, у которых включено автозаполнение при загрузке страницы, не нужно ничего дополнительно делать, чтобы воспользоваться новой функцией. Обновление Bitwarden выйдет на следующей неделе и просто включи обновленную логику автозаполнения при загрузке страницы для всех пользователей менеджера паролей.
Bitwarden быстро отреагировал на информацию об уязвимости и нашел решение, позволяющее сохранить удобную функцию и улучшить защиту своих пользователей.
Угрозы безопасности
• Apple устранила более 50 уязвимостей в свежих обновлениях iOS, iPadOS и macOS
• Вирус Triada на поддельных смартфонах крадёт Telegram-аккаунты и криптовалюту
• Атака «Фишинг как услуга» использует DNS-over-HTTPS для обхода обнаружения
• Mozilla предупреждает о критической уязвимости обхода песочницы в Firefox для Windows
• Популярные расширения Chrome взломали. Как защитить себя?
• Keenetic подтвердила взлом приложения для управления роутерами: Утекли данные более миллиона пользователей, большинство – из России