PSA: هکرها می توانند نام کاربری و رمز عبور شما را برای یک وب سایت با استفاده از iframe تعبیه شده سرقت کنند. این یک نقطه ضعف برای همه مدیران رمز عبور است، و بیشتر آنها به روشهای مختلف به این نقص پرداختهاند، از جمله اخطار دادن زمانی که کاربران در صفحه ورود به سیستم با iframe هستند یا به زیر دامنهها اعتماد ندارند. Bitwarden تنها استثناست که در سال 2018 تشخیص داد که این تهدید به اندازه کافی قابل توجه نیست تا بتوان به آن پرداخت.
Bitwarden در صفحات پشتیبانی خود در مورد “Auto-fill” به کاربران توصیه می کند که عملکردهای تکمیل خودکار رمز عبور مرورگر خود را خاموش کنند زیرا در راه حل مدیریت رمز عبور تداخل دارند. همچنین اشاره می کند که ایده خوبی است زیرا “کارشناسان به طور کلی با این موضوع موافق هستند [browser] مدیران رمز عبور نسبت به راه حل های اختصاصی مانند Bitwarden آسیب پذیرتر هستند.» که به طور کلی درست است.
متأسفانه، پرکننده رمز عبور آن ممکن است خیلی بهتر از مرورگر شما نباشد. محققان امنیتی در Flashpoint کشف کردند که افزونه تکمیل خودکار Bitwarden وبسایتهای دارای iframe تعبیهشده را به شیوهای ناامن مدیریت میکند. برای درک این آسیبپذیری به درک اولیه iframes نیاز است.
توسعه دهندگان وب سایت از عنصر قاب درون خطی یا iframe برای جاسازی بخشی از صفحه وب دیگر در سایت خود استفاده می کنند. به عنوان مثال، TechSpot از iframes برای جاسازی ویدیوهای YouTube در مقالات خود استفاده می کند. همچنین می توان از آن برای جاسازی فرم های وب استفاده کرد. به طور کلی، استفاده از iframe تا زمانی که مطالب جاسازی شده از وب سایت خارجی در معرض خطر قرار نگرفته باشد، ایمن است و این جایی است که مدیران با مشکل مواجه می شوند.
پسوندهای رمز عبور اعتبار تکمیل خودکار در هر کاربر صفحه وب، اعتبار خود را با طراحی ذخیره کرده اند. آنها حتی می توانند فرم ورود را به طور پیشگیرانه و بدون تعامل کاربر پر کنند. در پایان نامه Bitwarden تنظیمی به نام “پر کردن خودکار در بارگذاری صفحه” وجود دارد. با این حال، برنامه افزودنی این عملکرد را در iframe بدون انجام بررسی “Same-origin Policy” انجام می دهد. بنابراین اگر صفحه ای یک iframe مخرب از دامنه دیگری داشته باشد، مدیر به طور ناخودآگاه اعتبار شما را برای ارسال به سرور هکر تحویل می دهد.
اثبات مفهومی که نشان میدهد Bitwarden فیلدهای iframe قانونی و “مخاطب” را به طور همزمان پر میکند.
اکثر مدیران رمز عبور بررسی هایی را انجام می دهند تا حداقل خطرات احتمالی را به کاربران هشدار دهند. با این حال، Bitwarden مانع یا هشدار نمی دهد که یک iframe از یک دامنه دیگر به طور بالقوه در حال سرقت اعتبار است. فرض بر این است که همه iframe در صفحه ورود ایمن هستند. در گزارش امنیتی سال 2018 به همان اندازه گفته شد، اما بعداً در مورد آن بیشتر توضیح داده شد.
البته، این فقط در صورتی می تواند اتفاق بیفتد که وب سایت مورد اعتماد قبلاً در معرض خطر قرار گرفته باشد، درست است؟ به گفته Flashpoint، این لزوما درست نیست.
بدیهی است که اگر هکرها به اندازه کافی برای تعبیه یک iframe در یک وب سایت قانونی به دست آورده باشند، کاربران مشکلاتی بزرگتر از این ضعف در دستان خود خواهند داشت. در این سناریو هیچ برنامه افزودنی مدیریت رمز عبور نمی تواند انجام دهد. با این حال، برخی از وبسایتهای قانونی از فرمهایی از دامنه دیگری استفاده میکنند و آنها را با iframe جاسازی میکنند. اگر هکرها بتوانند منبع ثانویه را به خطر بیاندازند، یک پروکسی برای سرقت اطلاعات از وب سایت مورد اعتماد دارند.
Flashpoint اذعان می کند که این یک سناریوی نادر است و با بررسی دقیق چندین سایت که از iframe در صفحات ورود خود استفاده می کنند تأیید کرد. با این حال، مشکل دیگری وجود دارد. تطبیق URI پیشفرض Bitwarden (شناسه منبع یکسان) روی «دامنه پایه» تنظیم شده است. بنابراین تا زمانی که دامنه های سطح بالا و سطح دوم مطابقت داشته باشند، برنامه افزودنی تکمیل خودکار رمز عبور را ارائه می دهد.
مشکل این است که چندین سرویس میزبانی به کاربران اجازه میدهند تا «محتوای خودسرانه» را تحت یک زیر دامنه میزبانی کنند و جعل کردن یک صفحه ورود را نسبتاً آسان میکند.
به عنوان مثال، آیا یک شرکت باید یک صفحه ورود به سیستم در https://logins.company.tld داشته باشد و به کاربران اجازه دهد تا محتوا را تحت https:// ارائه دهند.[clientname].company.tld، این کاربران می توانند اعتبارنامه ها را از برنامه های افزودنی Bitwarden بدزدند.» Flashpoint گفت: «در تحقیقات خود، ما تأیید کردیم که چند وب سایت بزرگ دقیقاً چنین محیطی را ارائه می دهند. اگر کاربری با پسوند مرورگر Bitwarden از یک صفحه اختصاصی ساخته شده در این سرویس های وب بازدید کند، مهاجم می تواند اعتبار ذخیره شده برای دامنه مربوطه را بدزدد.”
عجیب است که وقتی Flashpoint در مورد این ضعف برای هماهنگی افشای اطلاعات با Bitwarden تماس گرفت، این شرکت اشاره کرد که از سال 2018 در مورد آن اطلاع داشته است.
در گزارش ارزیابی امنیتی این شرکت در سال 2018 آمده است: «از آنجایی که Bitwarden URL هر iframe را بررسی نمیکند، ممکن است یک وبسایت یک iframe مخرب تعبیه شده باشد، که Bitwarden آن را به صورت خودکار با اعتبار وبسایت «سطح بالا» پر میکند. “متاسفانه، موارد قانونی وجود دارد که در آن وبسایتها فرمهای ورود به سیستم iframe را از دامنهای جدا از دامنه وبسایت “والد” خود شامل میشوند. در حال حاضر هیچ اقدامی برنامهریزی نشده است.”
به عبارت دیگر، Bitwarden از مشکل آگاه است، اما خطر را به اندازه کافی قابل قبول میداند که هیچ کاری در مورد آن انجام ندهد، حتی اگر به سادگی این باشد که برنامه افزودنی در هنگام وجود یک iframe در صفحه یک هشدار صادر کند. Flashpoint این را غیرقابل توضیح میداند زیرا همه رقبای Bitwarden نوعی کاهش برای این سوء استفاده دارند.
محققان با استفاده از این نقص بهعنوان بردار حمله و یک «اکسپلویت کاری» که بهطور خصوصی در «محیط میزبانی برجسته» پیادهسازی کردند، اثبات مفهومی ایجاد کردند. آنها امیدوارند که توسعه دهندگان در Bitwarden نظر خود را در مورد این موضوع تغییر دهند زیرا در سال 2018 زمانی که این شرکت در ابتدا ضعف را ارزیابی کرد، هیچ کس چنین اکسپلویت هایی ایجاد نکرده بود. تا زمانی که Bitwarden این آسیبپذیری را برطرف نکند، میتوانید چند کار برای کاهش آن بدون تغییر مدیران رمز عبور انجام دهید.
ابتدا، تنظیم «پر کردن خودکار در بارگیری صفحه» برنامه افزودنی را خاموش کنید. شما باید همیشه ویژگی تکمیل خودکار را به صورت دستی فعال کنید. با این حال، کمی فضای تنفسی در اختیار شما قرار می دهد تا بدون اینکه فوراً اعتبار خود را به iframe تحویل دهید، صفحه ورود را بررسی کنید. این در واقع توصیه خوبی برای هر برنامه افزودنی مدیر گذرواژه با تکمیل خودکار پیشگیرانه است.
دوم، از این مکث استفاده کنید تا مطمئن شوید که در یک دامنه قابل اعتماد هستید و صفحه همان چیزی است که به نظر می رسد. به URL نگاه کنید تا مطمئن شوید که در دامنه یا زیر دامنه صحیح هستید و هیچ چیز مشکوکی به نظر نمی رسد. به عنوان مثال، چیزی مانند “login.wellsfargo.com” احتمالاً قانونی است، در حالی که “credx257.wellsfargo.com” احتمالاً اینطور نیست.
این مراحل همچنان از شما در برابر سایتهایی که از فرمهای وب خارجی در معرض خطر استفاده میکنند محافظت نمیکند، اما Flashpoint اشاره کرد که این سناریوها نادر هستند. دلیلی برای کنار گذاشتن استفاده از مدیریت رمز عبور، حتی Bitwarden نیست. مدیران برای کمک به شما در حفظ اعتبار خود مناسب هستند. همیشه بهتر است هزاران کلمه عبور قوی و سخت به یاد بیاورید که برای هر وب سایتی منحصر به فرد باشد تا اینکه از رمزهای ضعیف استفاده مجدد کنید.