Bitwarden a angajat compania germană de securitate Cure 53 pentru auditul securității software-ului și tehnologiilor Bitwarden utilizate de serviciul de gestionare a parolelor.
Bitwarden este o alegere populară când vine vorba de administratorii de parole; este sursă deschisă, programele sunt disponibile pentru toate sistemele de operare majore pentru desktop, platformele mobile Android și iOS, Web, ca extensii ale browserului și chiar linia de comandă.
Cure 53 a fost angajat pentru „efectuarea testării penetrării cutiilor albe, a auditului codului sursă și a unei analize criptografice a ecosistemului Bitwarden al aplicațiilor și al bibliotecilor de cod asociate”.
Bitwarden a lansat un document PDF care evidențiază constatările companiei de securitate în timpul auditului și răspunsul companiei.
Termenul de cercetare a descoperit mai multe vulnerabilități și probleme în Bitwarden. Bitwarden a modificat software-ul său pentru a rezolva imediat problemele presante; compania a schimbat modul în care funcționează URI-urile de conectare limitând protocoalele permise.
Compania a implementat o listă albă care permite schemele https, ssh, http, ftp, sftp, irc și chrome doar la momentul respectiv și nu alte scheme precum fișierul.
Cele patru vulnerabilități rămase pe care le-a găsit termenul de cercetare în timpul scanării nu au necesitat măsuri imediate conform analizei Bitwarden a problemelor.
Cercetătorii au criticat regula de parolă laxă principală a aplicației de a accepta orice parolă principală, cu condiția să aibă cel puțin opt caractere în lungime. Bitwarden intenționează să introducă verificări și notificări de rezistență a parolelor în versiunile viitoare pentru a încuraja utilizatorii să selecteze parolele principale care sunt mai puternice și care nu sunt ușor de spart.
Două dintre aceste probleme necesită un sistem compromis. Bitwarden nu schimbă cheile de criptare atunci când un utilizator schimbă parola principală și un server API compromis ar putea fi utilizat pentru a fura cheile de criptare. Bitwarden poate fi configurat individual pe infrastructura deținută de fiecare utilizator sau companie.
Problema finală a fost descoperită în tratarea funcționalității de completare automată a Bitwarden pe site-urile care folosesc iframes încorporate. Funcționalitatea de umplere automată verifică doar adresa de nivel superior și nu adresa URL folosită de iframele încorporate. Prin urmare, actorii nocivi ar putea utiliza iframuri încorporate pe site-uri legitime pentru a fura date de completare automată.
Acum Tu : Ce administrator de parole folosești, de ce?
