Bitwarden ระบบจัดการรหัสผ่านออกมาประกาศว่า ผู้ใช้งานทุกคนสามารถเข้าถึง password vaults บนเว็บไซต์โดยใช้ passkey แทนวิธีมาตรฐานเดิมซึ่งใช้ Username และ password คู่กันได้แล้ว

Passkeys เป็นวิธีการปกป้องรหัสผ่านอีกรูปแบบหนึ่งที่มีความปลอดภัยมากกว่าวิธีการมาตรฐาน และมีการใช้งานกันอย่างแพร่หลาย โดยที่สามารถป้องกันการโจมตีแบบ Phishing ได้ ซึ่งในกรณีของ Bitwarden จะอนุญาตให้ผู้ใช้งานเข้าถึง password vaults โดยไม่ต้องใช้รหัสผ่านหลัก (master password), อีเมล, หรือแม้กระทั่งการยืนยันตัวตนหลายขั้นตอน (2FA)

(more…)

ฟีเจอร์การป้อนข้อมูล credentials อัตโนมัติของ Bitwarden มีพฤติกรรมเสี่ยงที่อาจทำให้ iframes ที่เป็นอันตรายซึ่งถูกฝังอยู่ในเว็บไซต์ สามารถขโมยข้อมูล credentials ของผู้ใช้งาน และส่งไปยังแฮ็กเกอร์ได้

แม้ว่าฟีเจอร์การป้อนข้อมูล credentials อัตโนมัติจะถูกปิดใช้งานบน Bitwarden เป็นค่าเริ่มต้น และมีเงื่อนไขในการใช้งานด้วยฟีเจอร์ดังกล่าวไม่มากนัก แต่ Flashpoint ระบุว่ายังมีเว็บไซต์ที่ตรงตามเงื่อนไข ที่แฮ็กเกอร์สามารถนำมาใช้ประโยชน์จากช่องโหว่ดังกล่าวได้

Bitwarden คือ บริการจัดการรหัสผ่านแบบโอเพ่นซอร์ส ที่มี extension บนเว็บเบราว์เซอร์ที่ใช้เก็บข้อมูล เช่น ชื่อผู้ใช้ และรหัสผ่านของบัญชีโดยการเข้ารหัส

เมื่อผู้ใช้งานเข้าเว็บไซต์ extension จะตรวจสอบว่ามีการเข้าสู่ระบบที่เก็บข้อมูลไว้สำหรับโดเมนดังกล่าวหรือไม่ และกรอกข้อมูล credentials ให้ทันที หากเปิดใช้ตัวเลือกป้อนข้อมูลโดยอัตโนมัติ โดยระบบจะใส่ข้อมูลโดยอัตโนมัติเมื่อโหลดหน้าเว็บโดยที่ผู้ใช้ไม่ต้องทำอะไรเลย

โดยนักวิจัยของ Flashpoint พบว่า extension จะยังป้อนข้อมูลอัตโนมัติใน iframe ที่ถูกฝังไว้บนเว็บไซต์ ถึงแม้ว่าจะมาจากโดเมนอื่นก็ตาม

ในขณะที่ iframe ที่ฝังไว้ไม่สามารถเข้าถึงเนื้อหาใด ๆ ในหน้าหลักได้ แต่ก็ยังสามารถรับการป้อนข้อมูลแบบฟอร์มการเข้าสู่ระบบ และส่งต่อข้อมูล credentials ที่ได้มาไปยัง เซิร์ฟเวอร์ภายนอก โดยไม่ต้องให้ผู้ใช้งานดำเนินการใด ๆ

Flashpoint ตรวจสอบการฝัง iframe ในหน้าเข้าสู่ระบบของเว็บไซต์ต่าง ๆ ที่มีการเข้าใช้งานสูง และพบว่ายังมีค่อนข้างน้อย จึงทำให้ความเสี่ยงจากช่องโหว่ดังกล่าวถือว่ายังค่อนข้างต่ำ

ปัญหาที่สองที่ถูกพบโดย Flashpoint ระหว่างการตรวจสอบปัญหาจาก iframes คือ Bitwarden จะกรอกข้อมูล credentials โดยอัตโนมัติใน subdomain ที่ตรงกับโดเมนหลักของการเข้าสู่ระบบ

ซึ่งทำให้หากผู้โจมตีโฮสต์หน้าฟิชชิ่งภายใต้โดเมนย่อยที่ตรงกับโดเมนหลัก ก็จะสามารถบันทึกข้อมูล credentials จากเหยื่อได้เมื่อเหยื่อเปิดใช้การป้อนข้อความอัตโนมัติ

โดยบางบริการอนุญาตให้ผู้ใช้งานสามารถสร้าง subdomain เพื่อโฮสต์เนื้อหาได้ เช่น บริการฟรีโฮสติ้ง รวมไปถึงการโจมตียังคงทำได้ผ่านการโจมตีในลักษณะ subdomain hijacking

Bitwarden ระบุว่าฟีเจอร์การป้อนข้อความอัตโนมัติมีความเสี่ยงที่อาจเกิดขึ้นได้จริง และแจ้งเตือนในกรณีที่เว็บไซต์ถูกโจมตี ฟีเจอร์การป้อนข้อความอัตโนมัติอาจจะทำให้ผู้ใช้งานถูกขโมยข้อมูล credentials ได้

ความเสี่ยงนี้ถูกเปิดเผยครั้งแรกเมื่อเดือนพฤศจิกายน 2018 ดังนั้น Bitwarden จึงรับทราบถึงปัญหาดังกล่าวมาระยะหนึ่งแล้ว

อย่างไรก็ตาม เนื่องจากยังมีผู้ใช้งานที่จำเป็นต้องเข้าสู่ระบบผ่านบริการโดยใช้ iframes ที่มาจากโดเมนภายนอก Bitwarden จึงตัดสินใจที่จะไม่เปลี่ยนแปลงลักษณะการทำงาน และเพิ่มคำเตือนในซอฟต์แวร์ และเมนูการตั้งค่าที่เกี่ยวข้องของ extension แทน

ในการตอบสนองต่อรายงานของ Flashpoint เกี่ยวกับการจัดการ URI และวิธีการป้อนข้อความบน subdomain โดยอัตโนมัติ Bitwarden สัญญาว่าจะบล็อกการป้อนข้อความอัตโนมัติ สำหรับการอัปเดตในอนาคต แต่ไม่มีแผนที่จะเปลี่ยนฟังก์ชันการทำงานบน iframe

BleepingComputer ติดต่อ Bitwarden เกี่ยวกับความเสี่ยงด้านความปลอดภัย พวกเขายืนยันว่าทราบปัญหานี้ตั้งแต่ปี 2018 แต่ยังไม่ได้มีการเปลี่ยนฟังก์ชันการทำงาน เนื่องจากยังมีแบบฟอร์มการเข้าสู่ระบบบนเว็บไซต์ที่ถูกต้องที่มีการใช้ iframe

 

ที่มา : bleepingcomputer

Bitwarden และผู้ให้บริการแอปพลิเคชันจัดการรหัสผ่านอื่น ๆ กำลังตกเป็นเป้าหมายในแคมเปญฟิชชิงผ่านโฆษณาของ Google เพื่อขโมยข้อมูลส่วนตัวของผู้ใช้งาน

เนื่องจากปัจจุบันองค์กรต่าง ๆ ต้องมีการใช้รหัสผ่านจำนวนมากบนระบบ จึงทำให้มีความจำเป็นต้องใช้โปรแกรมจัดการรหัสผ่าน โดยนอกจาก KeePass ที่มีการเก็บข้อมูลแบบ Local แล้ว โปรแกรมจัดการรหัสผ่านส่วนใหญ่จะใช้ระบบคลาวด์ ซึ่งทำให้ผู้ใช้งานสามารถเข้าถึงรหัสผ่านผ่านเว็ปไซต์ และแอปพลิเคชันบนมือถือได้ (more…)