Autofill do Bitwarden pode revelar passwords na web

O autocomplete do Bitwarden pode revelar passwords em iframes inseguras injectadas em sites legítimos.

Utilizar o autofill de credenciais no Bitwarden pode expor as passwords dos utilizadores a atacantes, no caso de um site legítimo ter também um formulário de login injectado maliciosamente num iframe a partir de outro site. Isto porque a extensão irá preencher os dados de login do utilizador no formulário malicioso, que poderá enviar os dados automaticamente para o atacante.

É um risco que a Bitwarden conhece desde 2018, mas que desvaloriza por ser algo que está desactivado de origem e que alerta o utilizador para esse perigo no caso de ser activado. Além disso, é algo que funcionalmente não poderá ser evitado, referindo que a utilização de iframes com formulários de login de outros domínios é uma prática comum até em sites bastante populares, por exemplo, o site icloud.com utiliza um login via iframe do domínio apple.com.

Ainda assim, é algo para o qual os utilizadores do Bitwarden devem estar alertados, para minimizarem os potenciais riscos caso desejam activar a funcionalidade do auto-fill automático.