Bitwarden нанял немецкую охранную компанию Cure 53 для проверки безопасности программного обеспечения и технологий Bitwarden, используемых службой управления паролями.
Bitwarden - популярный выбор, когда дело доходит до менеджеров паролей; это открытый исходный код, программы доступны для всех основных настольных операционных систем, мобильных платформ Android и iOS, Интернета, расширений браузера и даже командной строки.
Cure 53 был нанят для «тестирования на проникновение в« белый ящик », аудита исходного кода и криптографического анализа экосистемы приложений и связанных библиотек кода Bitwarden».
Bitwarden опубликовал документ в формате PDF, в котором освещаются выводы охранной компании во время аудита и ответ компании.
Термин исследования выявил несколько уязвимостей и проблем в Bitwarden. Bitwarden внес изменения в свое программное обеспечение для немедленного решения насущных проблем; Компания изменила работу URI входа в систему, ограничив количество разрешенных протоколов.
Компания внедрила белый список, который позволяет использовать схемы https, ssh, http, ftp, sftp, irc и chrome только в определенный момент времени, а не другие схемы, такие как файловые.
Четыре оставшихся уязвимости, которые термин исследования обнаружил во время сканирования, не требовали немедленных действий в соответствии с анализом проблем Bitwarden.
Исследователи подвергли критике слабое правило мастер-пароля приложения, позволяющее принимать любой мастер-пароль при условии, что он имеет длину не менее восьми символов. Bitwarden планирует ввести проверки надежности паролей и уведомления в будущих версиях, чтобы побудить пользователей выбирать мастер-пароли, которые являются более надежными и не легко ломаются.
Две проблемы требуют компрометации системы. Bitwarden не изменяет ключи шифрования, когда пользователь меняет главный пароль, и взломанный API-сервер может использоваться для кражи ключей шифрования. Bitwarden может быть настроен индивидуально для инфраструктуры, которая принадлежит отдельному пользователю или компании.
Последняя проблема была обнаружена при обработке функций автозаполнения Bitwarden на сайтах, которые используют встроенные фреймы. Функция автозаполнения проверяет только адрес верхнего уровня, а не URL, используемый встроенными фреймами. Поэтому злоумышленники могут использовать встроенные фреймы на законных сайтах для кражи данных автозаполнения.
Теперь вы : Какой менеджер паролей вы используете, почему?
