Bitwarden je najel nemško varnostno podjetje Cure 53 za revizijo varnosti programske opreme in tehnologij Bitwarden, ki jo uporablja storitev za upravljanje gesla.
Bitwarden je priljubljena izbira, ko gre za upravljavce gesel; je odprtokodni program, programi so na voljo za vse glavne namizne operacijske sisteme, mobilne platforme Android in iOS, splet, kot razširitve brskalnika in celo ukazno vrstico.
Cure 53 je bil najet za "testiranje penetracije v beli škatli, revizijo izvorne kode in kriptografsko analizo Bitwardenovega ekosistema aplikacij in pripadajočih knjižnic kod".
Bitwarden je izdal dokument PDF, ki izpostavlja ugotovitve varnostnega podjetja med revizijo in odziv podjetja.
Raziskovalni izraz je odkril več ranljivosti in težav v Bitwardenu. Bitwarden je spremenil svojo programsko opremo za takojšnje reševanje perečih težav; podjetje je spremenilo delovanje URI-jev za prijavo z omejevanjem dovoljenih protokolov.
Podjetje je uvedlo seznam, ki omogoča sheme https, ssh, http, ftp, sftp, irc in chrome samo v trenutku in ne drugih shem, kot je datoteka.
Štiri preostale ranljivosti, ki jih je raziskovalni izraz odkril med pregledovanjem, niso zahtevale takojšnjega ukrepanja v skladu z analizo problemov Bitwardenove.
Raziskovalci so kritizirali pravilo lahkega glavnega gesla v aplikaciji, da sprejema vsako glavno geslo, pod pogojem, da je dolgo vsaj osem znakov. Bitwarden načrtuje, da bo v prihodnjih različicah uvedel preverjanje trdnosti gesla in obvestila, da bi uporabnike spodbudil k izbiri močnejših gesel, ki jih ni mogoče zlahka prebiti.
Dve izmed vprašanj zahtevata ogrožen sistem. Bitwarden ne spremeni šifrirnih ključev, ko uporabnik spremeni glavno geslo in bi lahko ogroženi strežnik API uporabil za krajo šifrirnih ključev. Bitwarden lahko nastavite posamično na infrastrukturi, ki je v lasti posameznega uporabnika ali podjetja.
Končna težava je bila odkrita pri ravnanju z Bitwardenovo funkcijo samodejnega izpolnjevanja na spletnih mestih, ki uporabljajo vdelane okvirje. Funkcija samodejnega izpolnjevanja preverja samo naslov najvišje ravni in ne URL, ki ga uporabljajo vdelani okvirji. Zlonamerni akterji bi lahko zato uporabili vdelane okvire na zakonitih spletnih mestih za krajo podatkov o samodejnem izpolnjevanju.
Zdaj Vi : Kateri skrbnik gesla uporabljate, zakaj?
