תכונת המילוי האוטומטית של Bitwarden – מערכת ניהול סיסמאות, מכילה התנהגות מסוכנת אשר יכולה לאפשר ל- iframes זדוניים המוטמעים באתרים מהימנים, לגנוב שמות משתמשים וסיסמאות ולשלוח אותם להאקרים. פגם האבטחה דווח על ידי אנליסטים מחברת FlashPoint שטענו כי Bitwarden מכירים את הסיכון עוד משנת 2018 אך בחרו לאפשר למערכת לפעול גם באתרים לגיטימיים המשתמשים ב- iFrames. למרות שתכונת המילוי האוטומטית מושבתת כברירת מחדל על Bitwarden והתנאים לניצול פגם זה אינם מצויים בשפע, טוענים Flashpoint שעדיין קיימים אתרים אשר יכולים לאפשר לאקרים לנסות לנצל פגם אבטחה זה.
Bitwarden הינו שירות פופולרי לניהול סיסמאות, עם יישומון דפדפן אינטרנט המאחסן סודות כמו שמות משתמש וסיסמאות בכספת מוצפנת. כאשר משתמשי Bitwarden מבקרים באתר, התוסף בדוק אם קיימים פרטי גישה לדומיין ומציע למלא אוטומטית את אישור הכניסה הנדרשים במידה ונשמרו על ידי המשתמש. אם אפשרות המילוי האוטומטי מופעלת, ימלא Bitwarden את הפרטים מבלי שהמשתמש יצטרך לעשות דבר. במהלך ניתוח Bitwarden גילו החוקרים של Flashpoint כי התוסף ממלא אוטומטית גם טפסים המוגדרים ב- iframes המשובצים בעמוד, אפילו אם מקור ה- iframes הינו מדומיינים חיצוניים. אמנם ל- iframe המוטמע אין גישה לתוכן כלשהו בדף ההורה, אך הוא מסוגל לחכות לקלט בטופס ההתחברות ולהעביר את האישורים שהוזנו לשרת מרוחק ללא אינטראקציה נוספת של המשתמש.
Flashpoint בדקו באיזו תדירות משובצים iframes בדפי כניסה של אתרים בעלי תעבורה גבוהה ודיווחו כי מספר המקרים המסוכנים נמוך מאוד, מה שמפחית משמעותית את הסיכון לניצול פגם האבטחה. עם זאת, סוגיה שנייה שהתגלתה על ידי FlashPoint תוך חקירת בעיית ה- iFrames היא ש- Bitwarden מאפשר מילוי אוטומטי של אישורי כניסה בתת-דומיינים של דומיין הבסיס. המשמעות היא שהאקר המארח דף דיוג תחת תת -דומיין התואם אישורי כניסה לדומיין בסיס נתון, יכיל את האישורים של הקורבן המבקר בדף, במידה והמילוי האוטומטי מופעל.
בתגובה, מדגישים Bitwarden כי תכונת המילוי האוטומטי היא אכן סיכון פוטנציאלי והמערכת כוללת אזהרה בולטת המציינת ספציפית את הסבירות של אתרים לניצול תכונת המילוי האוטומטי כדי לגנוב אישורים. עם זאת, מכיוון שמשתמשים צריכים לעיתים להתחבר לשירותים באמצעות Iframes משובצים מדומיינים חיצוניים, החליטו המהנדסים של Bitwarden לשמור על התכונה ללא שינוי ולהוסיף אזהרה ותיעוד ההגדרות הרלוונטיות של התוסף. בתגובה לדו"ח השני של Flashpoint על הטיפול ב- URI וכיצד מתייחס מילוי אוטומטי לתתי-דומיינים, הבטיחה Bitwarden לחסום את המילוי האוטומטי בסביבת האירוח המדווחת בעדכון עתידי אך לא מתוכנן לשנות את הפונקציונליות של iframe.
כאשר יצר אתר BleepingComputer קשר עם Bitwarden לגבי הסיכון האבטחה, אושר כי הסוגיה ידועה מאז 2018 אך לא שונתה הפונקציונליות, שכן דרכי התחברות משתמשים באתרים לגיטימיים כוללות שימוש ב- iframes.
