セキュリティ

無料のパスワードマネージャー「Bitwarden」には別のサイトを埋め込んでパスワードを盗める欠陥があるとセキュリティ企業が報告


オープンソースの人気パスワードマネージャー「Bitwarden」には、ページの中に別のページを埋め込むiframeを用いてパスワードが盗むことができる欠陥があると、セキュリティ企業のFlashpointが報告しました。Bitwardenは2018年にはこの問題を認識していますが、iframeを使用する正当なサイトに対応するため修正しなかったとのことです。

Bitwarden: The Curious (Use-)Case of Password Pilfering | Flashpoint
https://flashpoint.io/blog/bitwarden-password-pilfering/

Bitwarden flaw can let hackers steal passwords using iframes
https://www.bleepingcomputer.com/news/security/bitwarden-flaw-can-let-hackers-steal-passwords-using-iframes/

今回問題が指摘されたのは、Bitwardenのブラウザ向け拡張機能でパスワードを自動入力する機能です。Bitwardenは、ユーザーがIDやパスワードを保存しているページにいると判断すると、それぞれの入力欄に情報を入力することを提案します。また、オプションにある「ページ読み込み時の自動入力を有効化」の項目にチェックが入っている場合、ユーザーの操作なしで自動入力します。

FlashpointがBitwardenを分析したところ、この機能はiframeを使って埋め込まれた入力フォームにも自動入力してしまうことが判明しました。これについてFlashpointは、「iframeに埋め込まれたページは親ページのコンテンツにアクセスできませんが、ログインフォームへの入力を待ち構えて、入力された認証情報をリモートサーバーに転送することができます」と説明しています。


とはいえ、この動作自体はそれほど大きな危険性をもたらすものではないとのこと。Flashpointが、トラフィックが多い人気サイトのログインページにiframeが埋め込まれる頻度を調査した結果、危険なケースの数は非常に少ないことが分かりました。

しかし、Flashpointがiframe問題を調査する中で、「Bitwardenにはログイン情報が一致するベースドメインのサブドメイン上でも認証情報を自動入力する」という別の問題があることが分かりました。

サブドメインとは、元となったドメインの下に設けられた別のドメインのこと。例えば、ある企業が「https://logins.company.tld」というログインページを所有し、別のクライアントに「https://クライアント名.company.tld」からコンテンツを配信することを許可していた場合、クライアントはそこに偽のページを配置してBitwardenの拡張機能から認証情報を盗むことができてしまいます。


Flashpointは、「コンテンツホスティングプロバイダーの中には、公式ドメインのサブドメインで任意のコンテンツをホストすることを第三者に許可し、そのログインページも提供しているところがあります」と指摘します。

つまり、もし自動入力が有効になっている場合、攻撃者がベースドメインの下にフィッシング攻撃用のページを用意していると、被害者がそのページを訪問するだけでIDとパスワードが抜き取られてしまう危険性あるということです。

Bitwardenは、自動入力機能に関するドキュメントの中で、「自動入力は一般的には安全ですが、危険なウェブサイトや信頼できないウェブサイトがこの機能を利用して認証情報を盗むおそれがあるため、この機能はデフォルトで無効になっています」と強調しています。


この問題は2018年11月のセキュリティ評価で初めて明らかにされたものであるため、当時からBitwardenはiframeが悪用されるリスクを認識していた事になります。しかし、外部ドメインのiframeを使用したサービスにログインするという需要に対応するため、Bitwardenは動作の変更ではなく、ドキュメントや拡張機能の設定画面に警告を追加することで対応することを決定しました。

この問題を改めて通報したFlashpointに対し、Bitwardenは問題が見つかったホスティング環境での自動入力を今後のアップデートでブロックすると約束しましたが、iframe機能に対する動作を変更する予定はないと回答しました。

Bitwardenの拡張機能で自動入力が有効になっているかどうかを確認する方法は次の通り。まず拡張機能のメニューで「設定」をクリックします。


「自動入力」を選択します。


赤枠のチェックボックスにチェックが入っていない場合は、自動入力がオフになっています。

この記事のタイトルとURLをコピーする

・関連記事
パスワード管理アプリ「LastPass」の情報流出は社員の自宅PCハッキングが原因 - GIGAZINE

カスペルスキーのパスワードマネージャーが生成したパスワードは総当たり攻撃で爆速突破が可能と判明、一体なぜか? - GIGAZINE

パスワード管理アプリ「LastPass」のパスワードや個人情報が盗まれていたことが判明 - GIGAZINE

完璧にパスワードを設定するための4つの方法 - GIGAZINE

パスワードマネージャー「LastPass」で本人しか知らないマスターパスワードを使って他人がアクセスしようとする事態が複数発生 - GIGAZINE

パスワード管理の「オンライン同期」にちょっと不安を感じる人向け「LessPass」レビュー - GIGAZINE

・関連コンテンツ

in ウェブアプリ,   セキュリティ, Posted by log1l_ks

You can read the machine translated English article here.