主流密码管理器在非信任网站自动填充凭据的安全漏洞
John Leyden
2023年1月20日 12:09 UTC
更新:2023年1月23日 10:20 UTC
谷歌研究人员指出,Dashlane、Bitwarden和Safari内置密码管理器存在安全缺陷,可能导致在非信任页面上自动填充用户凭证。
谷歌安全团队在1月17日公开了这项发现,此前90天已向相关应用厂商通报了漏洞情况。虽然Dashlane和Bitwarden已发布软件更新,但Dashlane仍认为该漏洞不构成实际安全威胁。苹果Safari浏览器的修复状态尚未确认。
技术漏洞详情
根据谷歌的安全公告,该漏洞在两种场景下触发:
- 网页包含CSP(内容安全策略)沙盒响应头
- 表单嵌入在沙盒化iframe中
密码管理器本不应在这些场景下执行自动填充,但受影响的应用在处理沙盒内容时均未能正确验证。谷歌确认其他密码管理器(包括LastPass、1Password和谷歌Chrome的密码库技术)不受此影响。
“密码管理器在自动填充凭证前应检查内容是否处于沙盒环境。可通过多种方式实现,例如检查页面的self.origin属性,若值为’null’则拒绝填充凭据。"——谷歌安全公告
厂商响应与修复
Bitwarden向The Daily Swig确认已通过最近的拉取请求解决该问题。Dashlane虽已更新技术,但仍坚持认为不存在实质性的攻击场景:
“我们从未在用户未保存的域上提交或推荐凭证——因此在该特定用例中,我们未发现会导致凭证窃取的具体攻击场景。谷歌安全团队的发现有助于改进我们在自动填充场景中与客户的沟通方式。”
实际影响与防护建议
该漏洞可能导致用户凭证被自动填充到恶意页面,但需要结合其他攻击向量才能实现实际利用。建议用户:
- 及时更新密码管理器到最新版本
- 警惕非预期自动填充行为
- 启用多因素认证增强保护
本文于1月23日更新,包含Dashlane对谷歌披露声明的修订回应。