Bitwarden’ın kimlik bilgilerini otomatik doldurma özelliği, güvenilir web sitelerine yerleştirilmiş kötü amaçlı iframe’lerin insanların kimlik bilgilerini çalmasına ve bir saldırgana göndermesine izin verebilecek riskli bir davranış içerir.
Sorun, Bitwarden’in sorunu ilk olarak 2018’de öğrendiğini, ancak iframe kullanan yasal siteleri barındırmasına izin vermeyi seçtiğini söyleyen Flashpoint analistleri tarafından bildirildi.
Bitwarden’da otomatik doldurma özelliği varsayılan olarak devre dışı bırakılmış olsa da ve bundan yararlanma koşulları çok fazla olmasa da Flashpoint, motive olmuş tehdit aktörlerinin bu açıklardan yararlanmaya çalışabileceği gereksinimleri karşılayan web siteleri olduğunu söylüyor.
(Koşulsuz) otomatik doldurma
Bitwarden, hesap kullanıcı adları ve parolalar gibi sırları şifrelenmiş bir kasada saklayan bir web tarayıcı uzantısına sahip popüler bir açık kaynaklı parola yönetim hizmetidir.
Kullanıcıları bir web sitesini ziyaret ettiğinde, uzantı, o etki alanı için kayıtlı bir giriş olup olmadığını algılar ve kimlik bilgilerini doldurmayı teklif eder. Otomatik doldurma seçeneği etkinleştirilmişse, kullanıcının herhangi bir işlem yapmasına gerek kalmadan sayfa yüklendiğinde bunları otomatik olarak doldurur.
Flashpoint araştırmacıları, Bitwarden’ı analiz ederken, uzantının, harici alanlardakiler de dahil olmak üzere gömülü iframe’lerde tanımlanan formları da otomatik olarak doldurduğunu keşfetti.
Flashpoint, “Gömülü iframe’in ana sayfadaki herhangi bir içeriğe erişimi olmasa da, oturum açma formuna giriş yapılmasını bekleyebilir ve girilen kimlik bilgilerini daha fazla kullanıcı etkileşimi olmadan uzak bir sunucuya iletebilir” diye açıklıyor Flashpoint.
Flashpoint, yüksek trafikli web sitelerinin giriş sayfalarına iframe’lerin ne sıklıkta yerleştirildiğini araştırdı ve riskli vaka sayısının çok düşük olduğunu ve riski önemli ölçüde azalttığını bildirdi.
Bununla birlikte, Flashpoint tarafından iframe sorununu araştırırken keşfedilen ikinci bir sorun, Bitwarden’in bir oturum açmayla eşleşen temel etki alanının alt etki alanlarındaki kimlik bilgilerini de otomatik olarak doldurmasıdır.
Bu, belirli bir temel etki alanı için depolanan oturum açma bilgileriyle eşleşen bir alt etki alanı altında bir kimlik avı sayfası barındıran bir saldırganın, otomatik doldurma etkinleştirilmişse kurbanın sayfayı ziyaret etmesi üzerine kimlik bilgilerini yakalayacağı anlamına gelir.
Flashpoint raporda, “Bazı içerik barındırma sağlayıcıları, resmi alanlarının bir alt alanı altında keyfi içeriğin barındırılmasına izin veriyor ve bu, aynı zamanda giriş sayfalarına da hizmet ediyor” diye açıklıyor.
“Örnek olarak, bir şirketin https://logins.company.tld adresinde bir oturum açma sayfası olmalı ve kullanıcıların https:// altında içerik sunmasına izin vermeli mi?
Meşru bir web sitesinin temel alan adı ile eşleşen bir alt alan adının kaydedilmesi her zaman mümkün değildir, bu nedenle sorunun ciddiyeti azalır.
Bununla birlikte, ücretsiz barındırma hizmetleri gibi bazı hizmetler, kullanıcıların içeriği barındırmak için alt alanlar oluşturmasına izin verir ve alt alan adı ele geçirme yoluyla saldırı yine de mümkündür.
Bitwarden’in yanıtı
Bitwarden, otomatik doldurma özelliğinin potansiyel bir risk olduğunun altını çiziyor ve hatta belgelerinde, özellikle güvenliği ihlal edilmiş sitelerin kimlik bilgilerini çalmak için otomatik doldurma özelliğini kötüye kullanma olasılığından bahseden belirgin bir uyarı içeriyor.
Bu risk ilk olarak Kasım 2018 tarihli bir güvenlik değerlendirmesinde gün ışığına çıkarıldı, bu nedenle Bitwarden bir süredir güvenlik sorununun farkında.
Bununla birlikte, kullanıcıların harici alanlardan katıştırılmış iframe’leri kullanarak hizmetlerde oturum açması gerektiğinden, Bitwarden’in mühendisleri davranışı değiştirmemeye ve yazılımın belgelerine ve uzantının ilgili ayarlar menüsüne bir uyarı eklemeye karar verdi.
Flashpoint’in URI işleme ve otomatik doldurmanın alt etki alanlarını nasıl ele aldığı hakkındaki ikinci raporuna yanıt veren Bitwarden, gelecekteki bir güncellemede bildirilen barındırma ortamında otomatik doldurmayı engelleme sözü verdi, ancak iframe işlevini değiştirmeyi planlamadı.
BleepingComputer, güvenlik riskiyle ilgili olarak Bitwarden ile iletişime geçtiğinde, bu sorunu 2018’den beri bildiklerini ancak yasal sitelerdeki oturum açma formları iframe kullandığından işlevselliği değiştirmediklerini doğruladılar.
Bitwarden, BleepingComputer’a yaptığı açıklamada, “Bitwarden, iframe otomatik doldurmayı kabul ediyor çünkü birçok popüler web sitesi bu modeli kullanıyor; örneğin icloud.com, apple.com’dan bir iframe kullanıyor.”
“Yani, oturum açma formlarının farklı bir etki alanı altındaki bir iframe’de olduğu tamamen geçerli kullanım durumları var.”
“Blog gönderisinde otomatik doldurma için açıklanan özellik, Bitwarden’da varsayılan olarak ETKİN DEĞİLDİR ve tam da bu nedenle üründe ve yardım belgelerinde bu özellikle ilgili bir uyarı mesajı vardır. https://bitwarden.com/help/ tarayıcıyı otomatik doldur/#on-page-load.”