Η Bitwarden προσέλαβε τη γερμανική εταιρεία ασφαλείας Cure 53 για να ελέγξει την ασφάλεια του λογισμικού και των τεχνολογιών του Bitwarden που χρησιμοποιεί η υπηρεσία διαχείρισης κωδικών πρόσβασης.
Το Bitwarden είναι μια δημοφιλής επιλογή όταν πρόκειται για διαχειριστές κωδικών πρόσβασης. είναι ανοιχτού κώδικα, τα προγράμματα είναι διαθέσιμα για όλα τα μεγάλα λειτουργικά συστήματα για επιτραπέζιους υπολογιστές, τις πλατφόρμες κινητής τηλεφωνίας Android και iOS, το Web, ως επεκτάσεις του προγράμματος περιήγησης και ακόμη και τη γραμμή εντολών.
Η θεραπεία Cure 53 προσλήφθηκε για να "εκτελέσει δοκιμές διείσδυσης στο λευκό κουτί, έλεγχος πηγαίου κώδικα και κρυπτογραφική ανάλυση του οικοσυστήματος Bitwarden εφαρμογών και σχετικών βιβλιοθηκών κώδικα".
Το Bitwarden κυκλοφόρησε ένα έγγραφο PDF που υπογραμμίζει τα ευρήματα της εταιρείας ασφάλειας κατά τη διάρκεια του ελέγχου και την ανταπόκριση της εταιρείας.
Ο ερευνητικός όρος αποκάλυψε διάφορα προβλήματα ευπάθειας και προβλήματα στο Bitwarden. Η Bitwarden έκανε αλλαγές στο λογισμικό της για να αντιμετωπίσει άμεσα πιεστικά ζητήματα. η εταιρεία άλλαξε τον τρόπο με τον οποίο λειτουργούν οι καταχωρητές URI περιορίζοντας τα επιτρεπόμενα πρωτόκολλα.
Η εταιρεία εφάρμοσε ένα whitelist που επιτρέπει στα σχήματα https, ssh, http, ftp, sftp, irc και chrome μόνο κατά το χρόνο και όχι σε άλλα προγράμματα όπως το αρχείο.
Οι τέσσερις εναπομείναντες ευπάθειες που έδειξε ο ερευνητικός όρος κατά τη διάρκεια της σάρωσης δεν απαιτούσαν άμεση δράση σύμφωνα με την ανάλυση των θεμάτων από τον Bitwarden.
Οι ερευνητές επέκριναν τον κανόνα του βασικού κωδικού πρόσβασης για την αποδοχή οποιουδήποτε κύριου κωδικού πρόσβασης, υπό την προϋπόθεση ότι έχει τουλάχιστον οκτώ χαρακτήρες. Το Bitwarden σχεδιάζει να εισαγάγει ελέγχους και ειδοποιήσεις σχετικά με τη δύναμη του κωδικού πρόσβασης σε μελλοντικές εκδόσεις, για να ενθαρρύνει τους χρήστες να επιλέγουν κύριους κωδικούς πρόσβασης που είναι ισχυρότεροι και δεν είναι εύκολα κατεστραμμένοι.
Δύο από τα ζητήματα απαιτούν ένα συμβιβασμένο σύστημα. Το Bitwarden δεν αλλάζει τα κλειδιά κρυπτογράφησης όταν ένας χρήστης αλλάζει τον κύριο κωδικό πρόσβασης και ένας συμβιβασμένος διακομιστής API μπορεί να χρησιμοποιηθεί για να κλέψει τα κλειδιά κρυπτογράφησης. Το Bitwarden μπορεί να ρυθμιστεί ξεχωριστά σε υποδομή που ανήκει στον κάθε χρήστη ή εταιρεία.
Το τελικό ζήτημα ανακαλύφθηκε στο χειρισμό της λειτουργίας αυτόματης συμπλήρωσης του Bitwarden σε ιστότοπους που χρησιμοποιούν ενσωματωμένα iframes. Η λειτουργία αυτόματης συμπλήρωσης ελέγχει μόνο τη διεύθυνση ανώτατου επιπέδου και όχι τη διεύθυνση URL που χρησιμοποιούν τα ενσωματωμένα iframes. Συνεπώς, οι κακοί παραγωγοί θα μπορούσαν να χρησιμοποιήσουν ενσωματωμένα iframes σε νόμιμους ιστότοπους για να κλέψουν τα δεδομένα αυτόματης συμπλήρωσης.
Τώρα εσείς : Ποιος διαχειριστής κωδικών πρόσβασης χρησιμοποιείτε, γιατί;
