Los investigadores de TI de Flashpoint tienen preocupaciones de seguridad sobre algunos comportamientos de los complementos del navegador Bitwarden. Los ajustes preestablecidos desfavorables pueden fomentar el flujo de datos de acceso al destinatario equivocado. Bitwarden argumenta que todo está documentado. Sin embargo, los cambios serán para mejor, dice Flashpoint.
Discusión de los comportamientos de autocompletar en Bitwarden
Una espina en el costado de los investigadores de Flashpoint es que Bitwarden aún no se ha ocupado de los iframes de sitios web por separado. Uno same-originLa política no se aplica. Este iframe puede provenir de cualquier dominio, el complemento de autocompletar de Bitwarden proporciona los datos de inicio de sesión para el sitio de inserción. Este acceso entre dominios es ampliamente reconocido como un posible problema de seguridad. Por lo tanto, todos los navegadores implementan mecanismos de aislamiento apropiados.
La situación puede agravarse si los usuarios activan la opción «autocompletar al cargar», es decir, completar los campos de inicio de sesión cuando se carga la página. Bitwarden documenta esto y afirma que los sitios web comprometidos o no confiables pueden usar esto para robar credenciales.
Bitwarden señala los posibles riesgos de seguridad al activar la función de autocompletar en la configuración del complemento del navegador.
(Foto: captura de pantalla)
Por otro lado, Flashpoint argumenta que esto ciertamente se aplica a los sitios web pirateados, pero abre un vector de ataque a los sitios web no manipulados. Por ejemplo, los actores maliciosos pueden acceder a los datos a través de anuncios incrustados en iframes en un sitio web. Para hacer esto, solo tenían que manipular el contenido del iframe y no el sitio web real. Sin embargo, se limitaron a encontrar muy pocos iframes dispersos en muestras en las páginas de inicio de sesión de grandes sitios web.
Al crear una prueba de concepto para el problema del iframe, los investigadores de TI aún se topan con la configuración predeterminada de Bitwarden que se aplica a la coincidencia de URI. Este es el mecanismo para reconocer el dominio al que Bitwarden debe proporcionar datos de acceso. Está configurado como Dominio principal. Bitwarden solo compara el dominio y el dominio de nivel superior, por ejemplo ejemplo.com.
Los subdominios no se tienen en cuenta por defecto
Esto da como resultado que Bitwarden no haga la distinción entre iniciodecliente.ejemplo.com o trabajoelogin.ejemplo.com. Proporcionará las mismas credenciales para ambos dominios. Esto cambia cuando cambia la configuración en el complemento del navegador web de «dominio principal» a «host» o «exacto».
Su vulnerabilidad iframe Bitwarden ya ha sido evaluado en 2018 Y ella no tenía cambios planeados en el comportamiento. Desafortunadamente, los desarrolladores han dejado claro que hay casos legítimos en los que los sitios web incorporan formularios de registro de un dominio diferente al dominio del sitio original. Agregan: «Un ejemplo particular es el formulario de registro en icloud.com, que incluye un iframe que apunta a apple.com. Si bien esto no es algo común en la web, se conocen otros ejemplos legítimos». Aquí es donde Flashpoint espera cambiar de opinión sobre Bitwarden. También hay una entrada CVE con CVE-2018-25081.
El segundo problema aborda CVE-2023-27974. Bitwarden tampoco ve la necesidad de cambiar aquí, ya que la opción de autocompletar está atenuada de forma predeterminada. Flashpoint tiene una publicación en el blog Publicación, en la que los investigadores de TI presentan su punto de vista sobre las cosas.
Se recomienda a los usuarios de Bitwarden que cambien la configuración predeterminada de coincidencia de URI de autocompletar para los campos de datos de acceso ‘host’ o ‘exacto’.
(DMK)
«Erudito en viajes incurable. Pensador. Nerd zombi certificado. Pionero de la televisión extrema. Explorador general. Webaholic».
