根據(jù)安全機構(gòu) FlashPoint 官方博文,在密碼管理器 Bitwarden 的瀏覽器擴展程序中發(fā)現(xiàn)了一個高危漏洞,可以泄露用戶的密碼信息。
惡意網(wǎng)站可以利用該漏洞,在受信任頁面中嵌入 IFRAME 代碼。用戶訪問這些惡意網(wǎng)站,并使用 Bitwarden 自動填充之后,就可以獲取用戶的憑證信息。
IT之家從博文中獲悉,導致這個漏洞的關(guān)鍵是 Bitwarden 以非典型方式處理網(wǎng)頁中的嵌入式 iframe。
瀏覽器通過同源策略,分開 iframe 嵌入頁面和父頁面。也就是說,iframe 嵌入頁面和父頁面應該是互相隔離的狀態(tài),無法訪問其內(nèi)容。目前包括 Firefox、Chrome 等主要瀏覽器均采用了這個安全概念。
Bitwarden 瀏覽器擴展還在通過 iframe 嵌入來自其他域的第三方內(nèi)容的頁面上使用自動填充功能。通過 iframe 嵌入的網(wǎng)頁無權(quán)訪問父頁面的內(nèi)容。
但安全研究人員寫道無需進一步的用戶交互,該頁面可以等待登錄表單的輸入,并將輸入的憑據(jù)轉(zhuǎn)發(fā)到遠程服務器。
Bitwarden 文檔確實包含一條警告,即“受感染或不受信任的網(wǎng)站”可能會利用此來竊取憑據(jù)。安全研究人員表示,如果網(wǎng)站本身受到威脅,擴展幾乎無法阻止竊取憑據(jù)。
這個漏洞的存在提醒我們,任何密碼管理器都不是完全安全的。作為個人用戶,我們需要采取更多的安全措施來保護我們的賬戶和密碼。例如,使用不同的密碼和用戶名組合,并且定期更改密碼。