Bitwarden es un gestor de contraseñas que tiene una extensión para los navegadores que rellena automáticamente las contraseñas. La vulnerabilidad fue reportada a Bitwarden por parte de los analistas de Flashpoint. Aunque la función de relleno automático esté desactivada por defecto, hay páginas web que reúnen los requisitos para explotar esta vulnerabilidad.
Cuando un usuario visita una página web, la extensión detecta si hay unas credenciales guardadas y si estamos ante la página de inicio de sesión. En ese caso, se procede al relleno automático de los datos, para ofrecer comodidad al usuario.
El problema viene cuando la página que visitamos está vulnerada y los atacantes han colocado sobre ella lo que se denomina un iframe embebido. Esto es una página clónica que es invisible al usuario pero que contiene también las casillas para introducir usuario y contraseña. Al introducir dicha información, ésta es enviada al servidor legítimo y, a la vez, al servidor malicioso de los atacantes.
Por su parte, Bitwarden además de tener esta función desactivada por defecto, avisa en su manual de instrucciones de los riesgos que puede implicar su uso. Actualmente no se plantea una solución a corto plazo, ya que sitios web populares como icloud.com utiliza el mecanismo de iframes (esta vez visibles) para la página de inicio de sesión, según Bitwarden.
Fuente: Bleeping Computer