Společnost Bitwarden si najala německou bezpečnostní společnost Cure 53, aby provedla audit zabezpečení softwaru a technologií Bitwarden používaných službou správy hesel.
Bitwarden je oblíbenou volbou, pokud jde o správce hesel; je to open source, programy jsou dostupné pro všechny hlavní operační systémy pro stolní počítače, mobilní platformy Android a iOS, web, jako rozšíření prohlížeče a dokonce i příkazový řádek.
Cure 53 byl najat, aby „provedl penetrační testování v bílé skříňce, auditování zdrojového kódu a kryptografickou analýzu ekosystému Bitwarden aplikací a přidružených knihoven kódů“.
Bitwarden vydal dokument PDF, který upozorňuje na zjištění bezpečnostní společnosti během auditu a na odpověď společnosti.
Výzkumný termín odhalil několik zranitelných míst a problémů v Bitwardenu. Bitwarden provedl změny ve svém softwaru, aby okamžitě vyřešil naléhavé problémy; společnost změnila, jak fungují přihlašovací URI, omezením povolených protokolů.
Společnost implementovala whitelist, který umožňuje schématům https, ssh, http, ftp, sftp, irc a chrome pouze v daném okamžiku, a nikoli jiným schématům, jako je soubor.
Čtyři zbývající zranitelnosti, které výzkumný termín nalezený během kontroly nevyžadoval okamžitou akci podle Bitwardenovy analýzy problémů.
Vědci kritizovali laxní pravidlo hlavního hesla aplikace ohledně přijetí jakéhokoli hlavního hesla za předpokladu, že má alespoň osm znaků. Společnost Bitwarden plánuje v budoucích verzích zavést kontroly síly a oznámení o síle hesel, aby povzbudila uživatele k výběru hlavních hesel, která jsou silnější a ne snadno porušitelná.
Dva z těchto problémů vyžadují kompromitovaný systém. Bitwarden nemění šifrovací klíče, když uživatel změní hlavní heslo a ke krádeži šifrovacích klíčů lze použít napadený server API. Bitwarden lze nastavit individuálně na infrastrukturu, kterou vlastní jednotlivý uživatel nebo společnost.
Poslední problém byl objeven při práci s funkcí automatického vyplňování Bitwarden na webech, které používají vložené prvky iframe. Funkce automatického vyplňování kontroluje pouze adresu nejvyšší úrovně, nikoli adresu URL používanou vloženými prvky iframe. Škodliví aktéři by proto mohli na legitimních webech použít k vložení dat automatického vyplňování vložené prvky iframe.
Nyní jste : Kterého správce hesel používáte, proč?
