Passwort-Manager Bitwarden: Diskussion über Auto-Fill-Funktion
Die Browser-Plug-ins von Bitwarden erleichtern das Eintragen von Zugangsdaten. Bei bestimmten Konfigurationen könnten die jedoch in falsche Hände geraten.
(Bild: Song_about_summer/Shutterstock.com)
Die IT-Forscher von Flashpoint haben bei einigen Verhaltensweisen von Bitwardens Browser-Plug-ins Sicherheitsbedenken. Ungünstige Voreinstellungen könnten den Abfluss von Zugangsdaten an falsche Empfänger begünstigen. Das sei alles dokumentiert, argumentiert Bitwarden. Dennoch wären Änderungen besser, meint Flashpoint.
Diskussion um Auto-Fill-Verhaltensweisen von Bitwarden
Ein Dorn im Auge ist den Flashpoint-Forschern, dass Bitwarden bislang iframes in Webseiten nicht gesondert behandelt. Eine same-origin-Policy wird nicht umgesetzt. Solch ein iframe kann von beliebigen Domains stammen, das Auto-Fill-Plug-in von Bitwarden bietet dafür die Log-in-Daten der einbindenden Webseite an. Solch ein Domain-übergreifender Zugriff gilt allgemein als potenzielles Sicherheitsproblem. Daher setzen alle Browser entsprechende Isolierungsmechanismen um.
Verschlimmert würde die Situation, wenn Nutzer die Option "Auto-fill on load", also dem Befüllen von Log-in-Feldern beim Laden der Seite, aktivierten. Bitwarden dokumentiert dies und erwähnt, dass kompromittierte oder nicht vertrauenswürdige Webseiten das zum Stehlen von Zugangsdaten missbrauchen könnten.
(Bild: Screenshot)
Flashpoint argumentiert dagegen, dass das sicherlich für kompromittierte Webseiten gelte, jedoch einen Angriffsvektor für nicht manipulierte Webseiten öffne. Etwa durch in iframes eingebettete Werbung auf einer Webseite könnten bösartige Akteure so an Zugangsdaten gelangen, dazu müssten sie lediglich den iframe-Inhalt manipulieren und nicht die eigentliche Webseite. Sie schränken jedoch ein, dass sie in Stichproben auf Log-in-Seiten größerer Webauftritte nur äußerst wenige gefunden hätten, die mit iframes gespickt waren.
Während sie einen Proof-of-Concept für das iframe-Problem erstellt haben, sind die IT-Forscher noch über die Standardeinstellung von Bitwarden gestolpert, die für das URI-Matching gilt. Das ist der Mechanismus zum Erkennen der Domain, für die Bitwarden Zugangsdaten bereitstellen soll. Die ist auf "Base domain" gesetzt. Damit gleich Bitwarden lediglich Domain und Top-Level-Domain ab, etwa beispiel.com.
Subdomains in Standardeinstellung nicht berücksichtigt
Das führt dazu, dass Bitwarden keinen Unterschied macht zwischen kundenlogin.beispiel.com oder mitarbeiterlogin.beispiel.com. Es würde für beide Domains dieselben Zugangsdaten anbieten. Dies ändert sich mit Umstellen der Einstellung im Webbrowser-Plug-in von "Base domain" etwa auf "Host" oder "Exact".
Die iframe-Schwachstelle hat Bitwarden bereits 2018 evaluiert und hatte keine Änderungen am Verhalten geplant. Leider gebe es berechtigte Fälle, in denen Webseiten Anmeldeformulare von einer anderen Domain als der der übergeordneten Webseite einbinden würden, erläuterten die Entwickler dazu. Sie ergänzen: "Ein besonderes Beispiel ist das Anmeldeformular auf icloud.com, das einen iframe einbettet, das auf apple.com verweist. Das trete zwar nicht häufig im Netz auf, jedoch sind weitere legitime Beispiele bekannt". Hier hofft Flashpoint auf einen Sinneswandel bei Bitwarden. Ein CVE-Eintrag existiert mit CVE-2018-25081 ebenfalls dazu.
Das zweite Problem behandelt CVE-2023-27974. Bitwarden sieht auch hier keinen Änderungsbedarf, da die Auto-fill-Option standardmäßig gar nicht aktiv sei. Flashpoint hat einen Blog-Beitrag dazu veröffentlicht, in dem die IT-Forscher ihre Sicht der Dinge darlegen.
Bitwarden-Nutzer sind gut beraten, die Standardeinstellung für das URI-Matching für das automatische Befüllen von Zugangsdatenfeldern auf "Host" oder "Exact" umzustellen.
(dmk)