Forscher haben gerade einen Fehler in Bitwarden, einem beliebten Passwort-Manager, gefunden. Wenn er ausgenutzt wird, könnte der Fehler Hackern Zugriff auf Anmeldedaten verschaffen und verschiedene Konten kompromittieren.
Der Fehler in Bitwarden wurde von Flashpoint, einem Sicherheitsanalyseunternehmen, entdeckt. Obwohl das Problem in der Vergangenheit nicht viel – oder überhaupt – behandelt wurde, scheint es, dass Bitwarden die ganze Zeit darüber informiert war. So funktioniert das.
Das potenzielle Sicherheitsrisiko liegt in der Autofill-Funktion von Bitwarden. Es lässt Inline-Frames (Iframes) auf Ihre Anmeldedaten zugreifen, und wenn diese Iframes kompromittiert sind, dann auch Ihre Anmeldeinformationen. Ein Iframe ist ein HTML-Element, mit dem Entwickler eine andere Webseite in die Seite einbetten können, auf der Sie sich gerade befinden. Sie werden häufig zum Einbetten von Anzeigen, Videos oder Webanalysen verwendet.
Laut Flashpoint könnte die Verwendung von Bitwarden mit aktiviertem Autofill auf einer Seite, die Iframes enthält, zu einem Passwortdiebstahl führen. Dies liegt daran, dass das automatische Ausfüllen Ihr Login und Ihr Passwort sowohl auf der Seite, auf der Sie sich befinden, als auch innerhalb des Iframes automatisch ausfüllt – und das setzt Sie bestimmten Risiken aus.
In seinem Bericht sagte Flashpoint: „Während der eingebettete Iframe keinen Zugriff auf Inhalte auf der übergeordneten Seite hat, kann er auf Eingaben in das Anmeldeformular warten und die eingegebenen Anmeldeinformationen ohne weitere Benutzerinteraktion an einen Remote-Server weiterleiten.“
Es gibt jedoch noch eine andere Möglichkeit, wie Hacker Ihre Passwörter stehlen könnten. Das automatische Ausfüllen von Bitwarden funktioniert auch auf Subdomains der Domain, auf die Sie zugreifen möchten, solange der Login übereinstimmt. Das bedeutet, dass Bitwarden, wenn Sie auf eine Phishing-Seite stoßen, deren Subdomain mit der Basisdomain übereinstimmt, für die Sie Ihr Passwort gespeichert haben, diese möglicherweise automatisch an den Hacker weitergibt.
„Einige Content-Hosting-Anbieter erlauben das Hosten beliebiger Inhalte unter einer Subdomain ihrer offiziellen Domain, die auch ihre Anmeldeseite bedient. Sollte ein Unternehmen beispielsweise eine Anmeldeseite unter https://logins.company.tld haben und es Benutzern ermöglichen, Inhalte unter bereitzustellen https://
Dieses Problem tritt auf legitimen, großen Websites nicht auf, aber kostenlose Hosting-Dienste ermöglichen die Erstellung solcher Domains. Beide Fehler haben jedoch eine ziemlich geringe Wahrscheinlichkeit, dass sie auftreten, weshalb Bitwarden das Problem nicht behoben hat, obwohl es ihm bewusst war. Um weiterhin an Websites arbeiten zu können, die Iframes verwenden, muss Bitwarden dieses Zeitfenster für mögliche Phishing- und Passwortdiebstähle offen lassen.
Es ist erwähnenswert, dass das automatische Ausfüllen in Bitwarden standardmäßig deaktiviert ist und das Tool die Benutzer vor den möglichen Risiken warnt, wenn sie die Funktion aktivieren. Als Antwort auf den Bericht hat Bitwarden angekündigt, ein Update zu planen, das das automatische Ausfüllen von Subdomains blockiert.
Wenn Sie noch kein Tool wie Bitwarden verwenden, lesen Sie unbedingt unseren Leitfaden zu den besten Passwort-Managern. Bitwarden steht auf dieser Liste, und trotz dieser Sicherheitslücke verdient es immer noch seinen Platz – aber vielleicht ist es vorerst eine gute Idee, das automatische Ausfüllen zu deaktivieren.
Empfehlungen der Redaktion