Bitwarden 的密码管理器浏览器扩展有一个已知的漏洞，五年来一直没有解决

公益广告： 黑客可以使用嵌入式 iframe 窃取您的网站用户名和密码。 这是所有密码管理器的一个弱点，大多数密码管理器都以各种方式解决了这个缺陷，包括当用户在带有 iframe 的登录页面上或不信任子域时发出警告。 Bitwarden 是唯一的例外，它在 2018 年确定该威胁还不够严重，无法解决。

在其关于“自动填充”的支持页面中，Bitwarden 建议用户关闭浏览器的密码自动填充功能，因为它们会干扰其密码管理解决方案。 它还提到这是一个好主意，因为“专家普遍认为内置 [browser] 密码管理器比像 Bitwarden 这样的专用解决方案更容易受到攻击，”这通常是正确的。

不幸的是，它的密码填充器可能并不比您的浏览器好多少。 Flashpoint 的安全研究人员发现，Bitwarden 的自动填充扩展以不安全的方式处理带有嵌入式 iframe 的网站。 要了解此漏洞，需要对 iframe 有基本的了解。

网站开发人员使用内联框架元素或 iframe 将另一个网页的一部分嵌入到他们的网站中。 例如，TechSpot 使用 iframe 将 YouTube 视频嵌入到其文章中。 它还可以用于嵌入 Web 表单。 一般来说，只要来自外部网站的嵌入材​​料没有受到损害，iframe 就可以安全使用，而这正是管理人员遇到问题的地方。

任何网页上的密码扩展自动填充凭据用户已通过设计保存了他们的凭据。 他们甚至可以在没有用户交互的情况下先发制人地填写登录表单。 在 Bitwarden 的论文中，有一个名为“页面加载时自动填充”的设置。 但是，扩展将在 iframe 中执行此功能，而无需执行“同源策略”检查。 因此，如果一个页面有来自不同域的恶意 iframe，管理员将在不知不觉中交出您的凭据，以便将它们发送到黑客的服务器。

概念证明显示 Bitwarden 同时自动填充合法和“恶意”iframe 字段。

大多数密码管理器都进行了检查，以至少警告用户潜在的危险。 但是，Bitwarden 不会阻止或警告来自不同域的 iframe 可能会窃取凭据。 它假定登录页面上的所有 iframe 都是安全的。 它在 2018 年的安全报告中说了很多，但稍后会详细说明。

当然，这只有在受信任的网站已经遭到破坏时才会发生，对吧？ 根据 Flashpoint 的说法，这不一定是真的。

显然，如果黑客已经获得了足够的立足点，可以在合法网站上嵌入 iframe，那么用户将面临比他们手上的这个弱点更大的问题。 在这种情况下，任何密码管理扩展都无能为力。 然而，一些合法网站使用来自另一个域的表单，并将它们嵌入到 iframe 中。 如果黑客可以破坏次要来源，他们就有了从可信网站窃取信息的代理。

Flashpoint 承认这是一种罕见的情况，并通过对几个在登录页面上使用 iframe 的网站进行抽查确认了这一点。 然而，还有另一个问题。 Bitwarden 的默认 URI（统一资源标识符）匹配设置为“基本域”。 因此，只要顶级域和二级域匹配，该扩展程序就会提供密码自动填充功能。

问题是一些托管服务允许用户在子域下托管“任意内容”，这使得欺骗登录页面相对容易。

Flashpoint 使用 iCloud 作为登录页面的示例，该登录页面使用来自 apple.com 的外部 iframe 以允许用户使用其 Apple 凭据进行身份验证。

“例如，如果一家公司在 https://logins.company.tld 有一个登录页面，并允许用户在 https:// 下提供内容[clientname].company.tld，这些用户能够从 Bitwarden 扩展中窃取凭据，”Flashpoint 说。“在我们的研究中，我们确认几个主要网站提供了这种确切的环境。 如果使用 Bitwarden 浏览器扩展程序的用户访问托管在这些网络服务中的特制页面，攻击者就能够窃取为相应域存储的凭据。”

奇怪的是，当 Flashpoint 就此弱点联系 Bitwarden 以协调披露时，该公司指出它从 2018 年就知道了。

“由于 Bitwarden 不检查每个 iframe 的 URL，因此网站有可能嵌入恶意 iframe，Bitwarden 将自动填充‘顶级’网站凭据，”该公司的 2018 年安全评估报告中写道。 “不幸的是，在合法的情况下，网站会包含来自与其‘父’网站域不同的域的 iframe 登录表单。目前没有计划采取任何行动。”

换句话说，Bitwarden 意识到了这个问题，但认为风险是可以接受的，所以不会对此采取任何措施，即使它就像在页面上有 iframe 时让扩展发出警告一样简单。 Flashpoint 发现这是莫名其妙的，因为 Bitwarden 的所有竞争对手都对这种攻击采取了某种形式的缓解措施。

研究人员创建了一个概念证明，使用该缺陷作为攻击媒介和他们在“突出的托管环境”上私下实施的“有效利用”。 他们希望 Bitwarden 的开发人员能够改变他们对这个问题的看法，因为在 2018 年该公司最初评估该弱点时，还没有人创建过此类漏洞。 在 Bitwarden 解决该漏洞之前，您可以做一些事情来缓解它，而无需切换密码管理器。

首先，关闭扩展程序的“页面加载时自动填充”设置。 您将不得不始终手动触发自动填充功能。 但是，它为您提供了一些喘息的空间来检查登录页面，而无需立即将您的凭据移交给 iframe。 对于任何具有抢先自动填充功能的密码管理器扩展来说，这实际上是一个很好的建议。

其次，使用该暂停来确保您位于受信任的域中并且该页面如其所见。 查看 URL 以确保您位于正确的域或子域中，并且没有任何可疑之处。 例如，“login.wellsfargo.com”之类的内容可能是合法的，而“credx257.wellsfargo.com”可能不是。

这些步骤仍然无法保护您免受使用受损外部 Web 表单的网站的侵害，但 Flashpoint 指出，这些情况很少见。 没有理由放弃使用密码管理器，即使是 Bitwarden。 经理非常适合帮助您保持正直的资历。 拥有每个网站独有的大量难以记忆的可靠密码总是比重复使用弱密码要好。