Bitwarden zatrudnił niemiecką firmę ochroniarską Cure 53 do audytu bezpieczeństwa oprogramowania i technologii Bitwarden wykorzystywanych przez usługę zarządzania hasłami.
Bitwarden jest popularnym wyborem, jeśli chodzi o menedżerów haseł; jest to oprogramowanie typu open source, programy są dostępne dla wszystkich głównych systemów operacyjnych dla komputerów stacjonarnych, platform mobilnych Android i iOS, Internetu, jako rozszerzenia przeglądarki, a nawet wiersza poleceń.
Firma Cure 53 została zatrudniona do „przeprowadzania testów penetracyjnych białej skrzynki, audytu kodu źródłowego oraz analizy kryptograficznej ekosystemu aplikacji Bitwarden i powiązanych bibliotek kodów”.
Bitwarden opublikował dokument PDF, który podkreśla ustalenia firmy ochroniarskiej podczas audytu i odpowiedzi firmy.
Termin badawczy odkrył kilka luk i problemów w Bitwarden. Bitwarden wprowadził zmiany w swoim oprogramowaniu, aby natychmiast rozwiązać pilne problemy; firma zmieniła sposób działania identyfikatorów URI logowania, ograniczając dozwolone protokoły.
Firma wdrożyła białą listę, która pozwala na schematy https, ssh, http, ftp, sftp, irc i chrome tylko w danym momencie, a nie inne schematy, takie jak plik.
Cztery pozostałe luki wykryte podczas skanowania nie wymagały natychmiastowego działania, zgodnie z analizą problemów przeprowadzoną przez Bitwarden.
Badacze skrytykowali zasadę luźnego hasła głównego aplikacji dotyczącą akceptowania dowolnego hasła głównego, pod warunkiem, że ma ono co najmniej osiem znaków. Bitwarden planuje wprowadzić sprawdzanie siły haseł i powiadomienia w przyszłych wersjach, aby zachęcić użytkowników do wybierania haseł głównych, które są silniejsze i niełatwe do złamania.
Dwa z tych problemów wymagają skompromitowanego systemu. Bitwarden nie zmienia kluczy szyfrowania, gdy użytkownik zmienia hasło główne, a zaatakowany serwer API może zostać użyty do kradzieży kluczy szyfrowania. Bitwarden można skonfigurować indywidualnie w infrastrukturze, która jest własnością indywidualnego użytkownika lub firmy.
Ostatni problem został odkryty w obsłudze funkcji autouzupełniania Bitwarden w witrynach, które używają osadzonych ramek iframe. Funkcja autouzupełniania sprawdza tylko adres najwyższego poziomu, a nie adres URL używany przez osadzone elementy iframe. Złośliwi aktorzy mogliby zatem wykorzystywać osadzone ramki iframe w legalnych witrynach do kradzieży danych autouzupełniania.
Teraz Ty : Jakiego menedżera haseł używasz, dlaczego?
