ฟีเจอร์การป้อนข้อมูล credentials อัตโนมัติของ Bitwarden มีพฤติกรรมเสี่ยงที่อาจทำให้ iframes ที่เป็นอันตรายซึ่งถูกฝังอยู่ในเว็บไซต์ สามารถขโมยข้อมูล credentials ของผู้ใช้งาน และส่งไปยังแฮ็กเกอร์ได้
แม้ว่าฟีเจอร์การป้อนข้อมูล credentials อัตโนมัติจะถูกปิดใช้งานบน Bitwarden เป็นค่าเริ่มต้น และมีเงื่อนไขในการใช้งานด้วยฟีเจอร์ดังกล่าวไม่มากนัก แต่ Flashpoint ระบุว่ายังมีเว็บไซต์ที่ตรงตามเงื่อนไข ที่แฮ็กเกอร์สามารถนำมาใช้ประโยชน์จากช่องโหว่ดังกล่าวได้
Bitwarden คือ บริการจัดการรหัสผ่านแบบโอเพ่นซอร์ส ที่มี extension บนเว็บเบราว์เซอร์ที่ใช้เก็บข้อมูล เช่น ชื่อผู้ใช้ และรหัสผ่านของบัญชีโดยการเข้ารหัส
เมื่อผู้ใช้งานเข้าเว็บไซต์ extension จะตรวจสอบว่ามีการเข้าสู่ระบบที่เก็บข้อมูลไว้สำหรับโดเมนดังกล่าวหรือไม่ และกรอกข้อมูล credentials ให้ทันที หากเปิดใช้ตัวเลือกป้อนข้อมูลโดยอัตโนมัติ โดยระบบจะใส่ข้อมูลโดยอัตโนมัติเมื่อโหลดหน้าเว็บโดยที่ผู้ใช้ไม่ต้องทำอะไรเลย
โดยนักวิจัยของ Flashpoint พบว่า extension จะยังป้อนข้อมูลอัตโนมัติใน iframe ที่ถูกฝังไว้บนเว็บไซต์ ถึงแม้ว่าจะมาจากโดเมนอื่นก็ตาม
ในขณะที่ iframe ที่ฝังไว้ไม่สามารถเข้าถึงเนื้อหาใด ๆ ในหน้าหลักได้ แต่ก็ยังสามารถรับการป้อนข้อมูลแบบฟอร์มการเข้าสู่ระบบ และส่งต่อข้อมูล credentials ที่ได้มาไปยัง เซิร์ฟเวอร์ภายนอก โดยไม่ต้องให้ผู้ใช้งานดำเนินการใด ๆ
Flashpoint ตรวจสอบการฝัง iframe ในหน้าเข้าสู่ระบบของเว็บไซต์ต่าง ๆ ที่มีการเข้าใช้งานสูง และพบว่ายังมีค่อนข้างน้อย จึงทำให้ความเสี่ยงจากช่องโหว่ดังกล่าวถือว่ายังค่อนข้างต่ำ
ปัญหาที่สองที่ถูกพบโดย Flashpoint ระหว่างการตรวจสอบปัญหาจาก iframes คือ Bitwarden จะกรอกข้อมูล credentials โดยอัตโนมัติใน subdomain ที่ตรงกับโดเมนหลักของการเข้าสู่ระบบ
ซึ่งทำให้หากผู้โจมตีโฮสต์หน้าฟิชชิ่งภายใต้โดเมนย่อยที่ตรงกับโดเมนหลัก ก็จะสามารถบันทึกข้อมูล credentials จากเหยื่อได้เมื่อเหยื่อเปิดใช้การป้อนข้อความอัตโนมัติ
โดยบางบริการอนุญาตให้ผู้ใช้งานสามารถสร้าง subdomain เพื่อโฮสต์เนื้อหาได้ เช่น บริการฟรีโฮสติ้ง รวมไปถึงการโจมตียังคงทำได้ผ่านการโจมตีในลักษณะ subdomain hijacking
Bitwarden ระบุว่าฟีเจอร์การป้อนข้อความอัตโนมัติมีความเสี่ยงที่อาจเกิดขึ้นได้จริง และแจ้งเตือนในกรณีที่เว็บไซต์ถูกโจมตี ฟีเจอร์การป้อนข้อความอัตโนมัติอาจจะทำให้ผู้ใช้งานถูกขโมยข้อมูล credentials ได้
ความเสี่ยงนี้ถูกเปิดเผยครั้งแรกเมื่อเดือนพฤศจิกายน 2018 ดังนั้น Bitwarden จึงรับทราบถึงปัญหาดังกล่าวมาระยะหนึ่งแล้ว
อย่างไรก็ตาม เนื่องจากยังมีผู้ใช้งานที่จำเป็นต้องเข้าสู่ระบบผ่านบริการโดยใช้ iframes ที่มาจากโดเมนภายนอก Bitwarden จึงตัดสินใจที่จะไม่เปลี่ยนแปลงลักษณะการทำงาน และเพิ่มคำเตือนในซอฟต์แวร์ และเมนูการตั้งค่าที่เกี่ยวข้องของ extension แทน
ในการตอบสนองต่อรายงานของ Flashpoint เกี่ยวกับการจัดการ URI และวิธีการป้อนข้อความบน subdomain โดยอัตโนมัติ Bitwarden สัญญาว่าจะบล็อกการป้อนข้อความอัตโนมัติ สำหรับการอัปเดตในอนาคต แต่ไม่มีแผนที่จะเปลี่ยนฟังก์ชันการทำงานบน iframe
BleepingComputer ติดต่อ Bitwarden เกี่ยวกับความเสี่ยงด้านความปลอดภัย พวกเขายืนยันว่าทราบปัญหานี้ตั้งแต่ปี 2018 แต่ยังไม่ได้มีการเปลี่ยนฟังก์ชันการทำงาน เนื่องจากยังมีแบบฟอร์มการเข้าสู่ระบบบนเว็บไซต์ที่ถูกต้องที่มีการใช้ iframe
ที่มา : bleepingcomputer
You must be logged in to post a comment.