Bitwarden 安全漏洞：黑客可借此窃取密码

关键要点

• 密码管理服务 Bitwarden 存在安全漏洞，可能导致通过网站嵌入的 iframe 盗取凭据。
• 尽管 Bitwarden 默认禁用自动填充功能，但该功能仍可在嵌入的 iframe 中自动填充表单。
• 该问题早在 2018 年就已反映给 Bitwarden，但公司未做出改变。
• Bitwarden 已在 3 月 15 日更新补丁，修复了该问题。

最近消息来自
，指出密码管理服务 Bitwarden
存在一个漏洞，该漏洞位于其网页扩展的凭据自动填充功能中，可能被利用来通过网站嵌入的 iframe 进行凭据盗窃。虽然 Bitwarden默认禁用了自动填充功能，但一旦启用，该扩展仍能够在嵌入 iframe 中填充表单，包括来自外部域名的表单。根据 Flashpoint 的报告，“虽然嵌入的
iframe 无法访问父页面中的任何内容，但它可以等待登录表单的输入，并在没有进一步用户交互的情况下将输入的凭据转发到远程服务器。”

研究人员还观察到，Bitwarden 在与登录相关的基础域名的子域上进行凭据自动填充。早在 2018 年 11 月，关于此安全问题的反馈已经向
Bitwarden 提出，但密码管理公司仍然未对此行为进行调整，以便支持使用 iframe 的合法网站。Bitwarden表示：“由于许多流行网站使用这种模型，Bitwarden 接受 iframe 自动填充。例如，icloud.com 就使用来自 apple.com 的
iframe……博客文章中提到的自动填充功能在 Bitwarden 中默认是未开启的，并且在该功能的产品说明和帮助文档中对此做出了警告。”

更新信息

更新日期：3 月 15 日 ：Bitwarden 已对页面加载时的自动填充问题进行了修复，修复内容已在
上合并。