Bitwarden

Bitwarden の資格情報の自動入力機能には、信頼できる Web サイトに埋め込まれた悪意のある iframe が人々の資格情報を盗み、攻撃者に送信する可能性がある危険な動作が含まれています。

この問題は Flashpoint のアナリストによって報告され、Bitwarden は 2018 年にこの問題を初めて知ったが、iframe を使用する正当なサイトに対応できるようにすることを選択したと語った。

Bitwarden では自動入力機能がデフォルトで無効になっており、それを悪用する条件は豊富ではありませんが、Flashpoint は、動機付けられた攻撃者がこれらの欠陥を悪用しようとする要件を満たす Web サイトがまだあると述べています。

(Un)条件付きオートフィル

Bitwarden は、アカウントのユーザー名やパスワードなどの秘密を暗号化されたボールトに保存する Web ブラウザー拡張機能を備えた、人気のあるオープンソースのパスワード管理サービスです。

ユーザーが Web サイトにアクセスすると、拡張機能はそのドメインのログイン情報が保存されているかどうかを検出し、資格情報の入力を求めます。自動入力オプションが有効になっている場合、ユーザーが何もしなくても、ページの読み込み時に自動的に入力されます。

Bitwarden を分析しているときに、Flashpoint の研究者は、この拡張機能が、外部ドメインからのものであっても、埋め込まれた iframe で定義されたフォームを自動入力することを発見しました。

正規の Web サイトのログイン フォームと外部 iframe の両方に入力する
正当な Web サイトのログイン フォームと外部 iframe (Flashpoint)の両方に入力する

「埋め込まれた iframe は親ページのコンテンツにアクセスできませんが、ログイン フォームへの入力を待機し、入力された資格情報をリモート サーバーに転送することができます。それ以上のユーザー操作は必要ありません」と Flashpoint は説明します。

Flashpoint は、トラフィックの多い Web サイトのログイン ページに iframe が埋め込まれている頻度を調査し、危険なケースの数が非常に少なく、リスクが大幅に減少したと報告しました。

ただし、iframe の問題を調査中に Flashpoint が発見した 2 つ目の問題は、Bitwarden がログインに一致するベース ドメインのサブドメインの資格情報も自動入力することです。

これは、自動入力が有効になっている場合、攻撃者が、特定のベース ドメインの保存されたログインと一致するサブドメインでフィッシング ページをホストしている場合、被害者がそのページにアクセスすると、資格情報を取得することを意味します。

「一部のコンテンツ ホスティング プロバイダは、公式ドメインのサブドメインの下で任意のコンテンツをホストすることを許可しています。このサブドメインは、ログイン ページも提供しています」とレポートで Flashpoint は説明しています。

「例として、ある企業が https://logins.company.tld にログイン ページを持ち、ユーザーが https://<clientname>.company.tld でコンテンツを提供できるようにすると、これらのユーザーはクライアントから資格情報を盗むことができます。ビットワーデン拡張機能。」

正規の Web サイトのベース ドメインと一致するサブドメインを登録することは常に可能であるとは限らないため、問題の重大度は軽減されます。

ただし、一部のサービスでは、ユーザーがサブドメインを作成してコンテンツをホストすることができます (無料のホスティング サービスなど)。サブドメインのハイジャックによる攻撃は依然として可能です。

ビットワーデンの反応

Bitwarden は、自動入力機能が潜在的なリスクであることを強調しており、そのドキュメントには目立つ警告が含まれています。具体的には、侵害されたサイトが自動入力機能を悪用して資格情報を盗む可能性について言及しています。

Bitwarden ドキュメントのオートフィルの危険性に関する警告
Bitwarden ドキュメントのオートフィルの危険性に関する警告()

このリスクは、2018 年 11 月のセキュリティ評価で初めて明らかになったため、Bitwarden はセキュリティの問題を以前から認識していました。

ただし、ユーザーは外部ドメインから埋め込まれた iframe を使用してサービスにログインする必要があるため、Bitwarden のエンジニアは動作を変更せず、ソフトウェアのドキュメントと拡張機能の関連設定メニューに警告を追加することにしました。

 

拡張機能の自動入力設定に関する警告
拡張機能の自動入力設定に関する警告
()

URI の処理と自動入力がサブドメインをどのように扱うかについての Flashpoint の 2 番目のレポートに応えて、Bitwarden は、報告されたホスティング環境での自動入力を将来の更新でブロックすると約束しましたが、iframe 機能を変更する予定はありません。

セキュリティ リスクについて Bitwarden に問い合わせたところ、2018 年からこの問題を認識していましたが、正当なサイトのログイン フォームが iframe を使用しているため、機能を変更していないことが確認されました。

「Bitwarden は iframe の自動入力を受け入れます。多くの人気のある Web サイトがこのモデルを使用しているためです。たとえば、 icloud.com はapple.comの iframe を使用しています」と Bitwarden は声明で述べています。

「そのため、ログイン フォームが別のドメインの iframe にあるという完全に有効なユース ケースがあります。」

「ブログ投稿でオートフィルについて説明されている機能は、Bitwarden ではデフォルトで有効になっておらず、まさにこの理由で、製品内およびヘルプ ドキュメント内にその機能に関する警告メッセージがあります。https ://bitwarden.com/help/ auto-fill-browser/#on-page-load .”