谷歌的安全研究人员警告说,安全缺陷意味着多个密码管理器可能会被诱骗在不受信任的页面上自动填写凭据。谷歌团队于1月17日公开了他们的发现,这是在将漏洞通知应用程序Dashlane、Bitwarden和与Apple Safari浏览器捆绑在一起的内置密码管理器)90天后。Dashlane和Bitwarden都更新了他们的软件,但至少Dashlane仍然不相信该漏洞代表任何类型的安全威胁。在撰写本文时,Apple的Safari内置密码管理器的任何修复状态仍未得到确认。
谷歌概述的安全缺陷意味着易受攻击的密码管理器会自动将凭据填充到不受信任的页面中,而无需首先要求用户输入他们的主密码。
谷歌的一份公告解释说,该问题出现在两种情况下:网页具有CSP(内容安全策略)沙箱响应标头或表单位于沙箱iframe内。
密码管理器的自动填充不应在任何一种情况下发生,但受影响的应用程序在遇到沙盒内容时都会在这方面失败。谷歌表示,其他密码管理器(包括 LastPass、1Password 和谷歌浏览器的密码保险库技术)避免了这个错误。
“密码管理员应该在自动填充凭据之前检查内容是否被沙盒化。这可以通过多种方式完成,但一种方法是检查页面的self.origin,如果self.origin为“null”,则拒绝填写凭据,“根据谷歌的建议。
Bitwarden确认该问题已通过最近的拉取请求得到解决。Dashlane说,它也更新了技术,尽管它仍然不相信游戏中存在实质性问题。
我们从不为用户之前未保存的域提交或建议凭据 - 因此在该特定用例中,我们看不到会导致凭据窃取的具体攻击场景。
Google安全团队发布的调查结果有助于改进我们在自动填充场景中与客户沟通的方式。
我们始终欢迎与安全研究人员合作来识别威胁和潜在攻击,以便我们可以改进我们的安全架构并继续为我们的用户提供最高级别的保护。
评论已关闭。