Uno dei più popolari password manager gratuiti presenta una grave falla nella sicurezza che potrebbe portare alla perdita delle informazioni conservate in caso di un attacco mirato.
La funzione di compilazione automatica di Bitwarden, che ricordiamo è open-source, è la radice del problema, in quanto consente a frame inline (iframe) difettosi contenuti in siti web anche affidabili di prelevare i vostri dati di accesso.
La società di analisi Flashpoint ha scoperto la falla, ma sostiene che Bitwarden ne era a conoscenza già dal 2018, ma ha scelto di ignorarla per permetterne l'uso continuato su siti web popolari con iframes.
Cos'è un iframe e perché può essere sfruttato per rubare i dati
Gli iframe sono elementi HTML utilizzati per incorporare un'altra pagina web all'interno di quella che si sta visitando. Sono comunemente impiegati per pubblicità, analisi web, video e contenuti interattivi.
Flashpoint ha scoperto che quando si utilizza la funzione di autofill - disattivata per impostazione predefinita in Bitwarden - su una pagina web con un iframe, le credenziali vengono compilate automaticamente sulla pagina principale e poi anche sui moduli all'interno della pagina iframe. Se si tratta di un iframe potenzialmente pericoloso, le vostre credenziali potrebbero non essere più un segreto.
"Sebbene l'iframe incorporato non abbia accesso a nessun contenuto della pagina principale, può attendere l'inserimento del modulo di login e inoltrare le credenziali inserite a un server remoto senza ulteriore interazione da parte dell'utente", spiega Flashpoint.
Flashpoint precisa che il rischio di un attacco di questo tipo è basso, poiché molti siti web legittimi e popolari non contengono iframe nelle loro pagine di login. La cosa più preoccupante, tuttavia, è che la funzione di riempimento automatico di Bitwarden opera anche sui sottodomini dei domini principali per i quali sono stati salvati nome utente e password.
Questi sottodomini possono essere utilizzati nelle truffe di phishing, in cui vengono create delle pagine web false utilizzando siti web legittimi per rubare i vostri dati. Flashpoint afferma che ciò è possibile in quanto "alcuni fornitori di hosting di consentono di ospitare contenuti arbitrari sotto un sottodominio del loro dominio ufficiale, che serve anche la loro pagina di login".
I web hosting gratuiti consentono questo tipo di creazione di sottodomini, ma molti domini legittimi non ne permettono la registrazione. Tuttavia, in questo caso, un sottodominio potrebbe comunque essere dirottato da qualcuno. Bitwarden emette un avviso quando si attiva la funzione di riempimento automatico, affermando che "siti web compromessi o non attendibili potrebbero approfittarne per rubare le credenziali".
Nonostante il rischio di sfruttamento degli iframe, Bitwarden ha deciso di mantenere la funzione di riempimento automatico sulle pagine di login con iframe, poiché molti siti web popolari li utilizzano, "ad esempio icloud.com utilizza un iframe da apple.com", ha dichiarato l'azienda a BleepingComputer.
