Uno de los administradores de contraseñas gratuitos más populares tiene una importante falla de seguridad que podría permitir que los piratas informáticos roben sus credenciales en un ataque de robo de identidad.
La función de autocompletar en el administrador de contraseñas de código abierto de Bitwarden es la raíz del problema, ya que permite que los marcos en línea (iframes) incorrectos que se encuentran dentro de los sitios web confiables capturen sus datos de inicio de sesión.
Empresa de análisis de seguridad Flashpoint (se abre en una pestaña nueva) descubrió la falla, pero afirma que Bitwarden lo sabía desde 2018, pero decidió ignorarlo a favor de permitir su uso continuo en sitios web populares con iframes.
truco de iframe
Los iframes son elementos HTML que se utilizan para incrustar otra página web dentro de la actual. Se usan comúnmente para anuncios, análisis web, videos y contenido interactivo.
Flashpoint descubrió que al usar la función de autocompletar, que está desactivada de manera predeterminada en Bitwarden, en una página web con un iframe, las credenciales se completan automáticamente en la página principal y luego también en los formularios dentro de la página del iframe. Y si se trata de un iframe malicioso controlado por piratas informáticos, pueden robar sus credenciales. Incluso si el iframe es de un dominio externo, esto seguirá sucediendo.
«Si bien el iframe incrustado no tiene acceso a ningún contenido en la página principal, puede esperar la entrada en el formulario de inicio de sesión y reenviar las credenciales ingresadas a un servidor remoto sin más interacción del usuario», dijo Flashpoint.
Sin embargo, Flashpoint descubrió que el riesgo de un ataque de este tipo era bajo, ya que muchos sitios web legítimos y populares no contienen iframes en sus páginas de inicio de sesión.
Sin embargo, lo más preocupante era que la función de autocompletar de Bitwarden incluso operaría en subdominios de dominios base para los que tiene un nombre de usuario y una contraseña guardados.
Estos subdominios se pueden usar en estafas de phishing, donde los actores de amenazas crean páginas falsas usando subdominios de sitios web legítimos para robar sus datos. Flashpoint dice que esto es posible ya que «algunos proveedores de alojamiento de contenido permiten alojar contenido arbitrario bajo un subdominio de su dominio oficial, que también sirve a su página de inicio de sesión».
Los sitios de alojamiento gratuitos permiten este tipo de creación de subdominios, pero hay muchos dominios legítimos que no permiten el registro de subdominios basados en ellos. Sin embargo, en este caso, un hacker aún podría secuestrar un subdominio.
Bitwarden emite una advertencia cuando activa su función de autocompletar, indicando que «los sitios web comprometidos o que no son de confianza podrían aprovechar esto para robar credenciales».
A pesar del riesgo de que se anuncie la explotación de iframe (se abre en una pestaña nueva) en noviembre de 2018, Bitwarden decidió mantener la función de autocompletar en las páginas de inicio de sesión con iframes, ya que muchos sitios web populares los usan, «por ejemplo, icloud.com usa un iframe de apple.com», dijo Bitwarden a BleepingComputer. (se abre en una pestaña nueva).
Sin embargo, cuando se trata de formularios de autocompletado en subdominios, Bitwarden dijo que emitirá una actualización en el futuro para evitar el autocompletado en entornos de alojamiento que permitan esto.