主流密码管理器在非信任网站自动填充凭证

John Leyden
2023年1月20日 12:09 UTC
更新：2023年1月23日 10:20 UTC

谷歌研究人员指出，Dashlane、Bitwarden和Safari内置密码管理器存在安全缺陷，可能导致在非信任页面上自动填充用户凭证。谷歌安全团队于1月17日公开了这一发现，此前90天已通知相关应用厂商。

Dashlane和Bitwarden均已发布软件更新，但Dashlane仍认为该漏洞不构成实质安全威胁。苹果Safari内置密码管理器的修复状态尚未确认。

漏洞原理

谷歌安全公告显示，漏洞在两种场景下触发：

1. 网页包含CSP（内容安全策略）沙箱响应头
2. 表单嵌入沙盒化iframe环境

密码管理器本不应在这些场景下自动填充，但受影响应用均未能正确检测沙盒内容。谷歌确认其他密码管理器（如LastPass、1Password和Chrome密码库技术）不受影响。

谷歌建议：“密码管理器应在自动填充前检查内容是否沙盒化，例如通过检测页面self.origin值，若为’null’则拒绝填充。”

厂商响应

• Bitwarden确认通过拉取请求修复该问题
• Dashlane虽发布更新，但坚持认为不存在具体攻击场景，强调"从未在用户未保存的域名下提交凭证"
• 苹果Safari修复状态待确认

实际影响

谷歌表示该研究有助于改进密码管理器在自动填充场景中的通信机制。Dashlane欢迎与安全研究人员合作完善安全架构，但谷歌尚未回应其质疑。

本文于1月23日更新Dashlane对谷歌披露的最新声明