Close Menu
Bitwarden

Tiện ích mở rộng trình duyệt quản lý mật khẩu của Bitwarden có một khai thác đã biết mà nó chưa được giải quyết trong 5 năm

8 phút để đọc

PSA: Tin tặc có thể đánh cắp tên người dùng và mật khẩu của bạn cho một trang web bằng iframe được nhúng. Đó là một điểm yếu đối với tất cả các trình quản lý mật khẩu và hầu hết đã giải quyết lỗ hổng này theo nhiều cách khác nhau, bao gồm cả việc đưa ra cảnh báo khi người dùng đang ở trên trang đăng nhập có iframe hoặc tên miền phụ không tin cậy. Bitwarden là ngoại lệ duy nhất, đã xác định vào năm 2018 rằng mối đe dọa không đủ nghiêm trọng để giải quyết.

HOT
⚡ Tin công nghệ nóng mỗi ngày tại TechWire.vn
Xem ngay →

Trong các trang hỗ trợ về “Tự động điền”, Bitwarden lời khuyên người dùng tắt chức năng tự động điền mật khẩu của trình duyệt vì chúng can thiệp vào giải pháp quản lý mật khẩu của nó. Nó cũng đề cập rằng đó là một ý tưởng hay bởi vì “các chuyên gia thường đồng ý rằng tích hợp sẵn [browser] trình quản lý mật khẩu dễ bị tấn công hơn so với các giải pháp chuyên dụng như Bitwarden,” điều này nói chung là đúng.

Thật không may, trình điền mật khẩu của nó có thể không tốt hơn nhiều so với trình duyệt của bạn. Các nhà nghiên cứu bảo mật tại Flashpoint đã phát hiện rằng tiện ích mở rộng tự động điền của Bitwarden xử lý các trang web có iframe được nhúng theo cách không an toàn. Cần có hiểu biết cơ bản về iframe để hiểu lỗ hổng này.

Các nhà phát triển trang web sử dụng phần tử khung nội tuyến hoặc iframe để nhúng một phần của trang web khác vào trang web của họ. Ví dụ: TechSpot sử dụng iframe để nhúng video YouTube vào bài viết của mình. Nó cũng có thể được sử dụng để nhúng các biểu mẫu web. Nói chung, iframe an toàn để sử dụng miễn là tài liệu được nhúng từ trang web bên ngoài không bị xâm phạm và đây là lúc người quản lý gặp sự cố.

Tiện ích mở rộng mật khẩu tự động điền thông tin đăng nhập trên bất kỳ trang web nào mà người dùng đã lưu thông tin đăng nhập của họ theo thiết kế. Họ thậm chí có thể điền trước vào biểu mẫu đăng nhập mà không cần sự tương tác của người dùng. Trong luận điểm của Bitwarden, một cài đặt có tên là “Tự động điền khi tải trang”. Tuy nhiên, tiện ích mở rộng sẽ thực hiện chức năng này trong iframe mà không thực hiện kiểm tra “Chính sách cùng nguồn gốc”. Vì vậy, nếu một trang có iframe độc ​​hại từ một miền khác, người quản lý sẽ vô tình chuyển thông tin đăng nhập của bạn để chúng được gửi đến máy chủ của tin tặc.

Tien ich mo rong trinh duyet quan ly mat khau TechTimes Vietnam Tiện ích mở rộng trình duyệt quản lý mật khẩu của Bitwarden có một khai thác đã biết mà nó chưa được giải quyết trong 5 năm
Bằng chứng về khái niệm cho thấy Bitwarden tự động điền đồng thời các trường iframe hợp pháp và “độc hại”.

Hầu hết các trình quản lý mật khẩu đều có kiểm tra tại chỗ để ít nhất là cảnh báo người dùng về những nguy cơ tiềm ẩn. Tuy nhiên, Bitwarden không ngăn chặn hoặc cảnh báo rằng iframe từ một miền khác có khả năng đánh cắp thông tin đăng nhập. Nó giả định rằng tất cả iframe trên trang đăng nhập đều an toàn. Nó đã nói nhiều như vậy trong một báo cáo bảo mật năm 2018, nhưng nhiều hơn về điều đó sau này.

Tất nhiên, điều này chỉ có thể xảy ra nếu trang web đáng tin cậy đã bị xâm phạm, phải không? Theo Flashpoint, điều đó không hẳn đúng.

Rõ ràng, nếu tin tặc đã có đủ chỗ đứng để nhúng iframe trên một trang web hợp pháp, thì người dùng sẽ gặp vấn đề lớn hơn điểm yếu này. Có rất ít tiện ích mở rộng quản lý mật khẩu có thể làm được trong trường hợp đó. Tuy nhiên, một số trang web hợp pháp sử dụng các biểu mẫu từ miền khác, nhúng chúng bằng iframe. Nếu tin tặc có thể xâm phạm nguồn thứ cấp, chúng sẽ có một proxy để đánh cắp thông tin từ trang web đáng tin cậy.

Flashpoint thừa nhận đây là một trường hợp hiếm gặp và đã xác nhận điều đó bằng cách kiểm tra tại chỗ một số trang web sử dụng iframe trên các trang đăng nhập của họ. Tuy nhiên, có một vấn đề khác. Kết hợp URI (Mã định danh tài nguyên thống nhất) mặc định của Bitwarden được đặt thành “Miền cơ sở”. Vì vậy, tiện ích mở rộng sẽ cung cấp tính năng tự động điền mật khẩu miễn là tên miền cấp cao nhất và cấp hai khớp nhau.

Vấn đề là một số dịch vụ lưu trữ cho phép người dùng lưu trữ “nội dung tùy ý” dưới tên miền phụ, khiến việc giả mạo trang đăng nhập tương đối dễ dàng.

Tien ich mo rong trinh duyet quan ly mat khau TechTimes Vietnam Tiện ích mở rộng trình duyệt quản lý mật khẩu của Bitwarden có một khai thác đã biết mà nó chưa được giải quyết trong 5 nămFlashpoint sử dụng iCloud làm ví dụ về trang đăng nhập sử dụng iframe bên ngoài từ apple.com để cho phép người dùng xác thực bằng thông tin đăng nhập Apple của họ.

“Ví dụ: một công ty có trang đăng nhập tại https://logins.company.tld và cho phép người dùng phân phát nội dung theo https://[clientname]Flashpoint cho biết. Nếu người dùng có tiện ích mở rộng trình duyệt Bitwarden truy cập một trang được tạo đặc biệt được lưu trữ trong các dịch vụ web này, kẻ tấn công có thể đánh cắp thông tin đăng nhập được lưu trữ cho miền tương ứng.”

Điều kỳ lạ là khi Flashpoint liên hệ với Bitwarden về điểm yếu này để phối hợp tiết lộ, công ty chỉ ra rằng họ đã biết về nó từ năm 2018.

“Vì Bitwarden không kiểm tra từng URL của iframe nên một trang web có thể nhúng iframe độc ​​hại, Bitwarden sẽ tự động điền thông tin đăng nhập trang web ‘cấp cao nhất’,” báo cáo năm 2018 của công ty Báo cáo đánh giá bảo mật đọc. “Thật không may, có những trường hợp hợp pháp mà các trang web sẽ bao gồm các biểu mẫu đăng nhập iframe từ một miền riêng biệt với miền của trang web ‘mẹ’ của chúng. Không có hành động nào được lên kế hoạch vào lúc này.”

Nói cách khác, Bitwarden nhận thức được vấn đề nhưng cho rằng rủi ro đủ chấp nhận được để không làm bất cứ điều gì về nó, ngay cả khi nó đơn giản như việc tiện ích mở rộng đưa ra cảnh báo khi có iframe trên một trang. Flashpoint nhận thấy điều này là không thể giải thích được vì tất cả các đối thủ cạnh tranh của Bitwarden đều có một số hình thức giảm thiểu khai thác này.

Các nhà nghiên cứu đã tạo ra một bằng chứng về khái niệm bằng cách sử dụng lỗ hổng làm phương tiện tấn công và một “khai thác đang hoạt động” mà họ đã thực hiện một cách riêng tư trên một “môi trường lưu trữ nổi bật”. Họ hy vọng rằng các nhà phát triển tại Bitwarden sẽ thay đổi suy nghĩ về vấn đề này vì chưa có ai tạo ra các khai thác như vậy vào năm 2018 khi công ty đánh giá điểm yếu ban đầu. Cho đến khi Bitwarden giải quyết lỗ hổng, bạn có thể thực hiện một số điều để giảm thiểu lỗ hổng mà không cần chuyển trình quản lý mật khẩu.

Trước tiên, hãy tắt cài đặt “Tự động điền khi tải trang” của tiện ích mở rộng. Bạn sẽ phải kích hoạt tính năng tự động điền thủ công mọi lúc. Tuy nhiên, nó cung cấp cho bạn một số khoảng trống để kiểm tra trang đăng nhập mà không cần chuyển ngay thông tin đăng nhập của bạn cho iframe. Đó thực sự là lời khuyên tốt cho bất kỳ tiện ích mở rộng trình quản lý mật khẩu nào có tính năng tự động điền trước.

Thứ hai, sử dụng khoảng dừng đó để chắc chắn rằng bạn đang ở trên một miền đáng tin cậy và trang đó có vẻ như vậy. Xem xét URL để đảm bảo bạn đang truy cập đúng tên miền hoặc tên miền phụ và không có gì đáng ngờ. Ví dụ: nội dung như “login.wellsfargo.com” có thể hợp pháp, trong khi “credx257.wellsfargo.com” có thể không hợp pháp.

Các bước này sẽ vẫn không bảo vệ bạn khỏi các trang web sử dụng biểu mẫu web bên ngoài bị xâm nhập, nhưng Flashpoint lưu ý rằng những trường hợp đó rất hiếm. Không có lý do gì để từ bỏ việc sử dụng trình quản lý mật khẩu, kể cả Bitwarden. Người quản lý rất phù hợp để giúp bạn giữ cho thông tin xác thực của mình được chính xác. Luôn luôn tốt hơn nếu có hàng tấn mật khẩu khó nhớ duy nhất cho mọi trang web hơn là sử dụng lại những mật khẩu yếu.

Nguồn: Tổng hợp – được thực hiện thử nghiệm bằng NLP và trí tuệ nhân tạo, vui lòng nhấn báo lỗi để góp ý

Chia sẻ.

Bài viết liên quan