Bitwarden ha assunto la società di sicurezza tedesca Cure 53 per verificare la sicurezza del software e delle tecnologie Bitwarden utilizzate dal servizio di gestione delle password.
Bitwarden è una scelta popolare quando si tratta di gestori di password; è open source, i programmi sono disponibili per tutti i principali sistemi operativi desktop, le piattaforme mobili Android e iOS, il Web, come estensioni del browser e persino la riga di comando.
Il Cure 53 è stato assunto per "eseguire test di penetrazione della scatola bianca, controllo del codice sorgente e un'analisi crittografica dell'ecosistema Bitwarden di applicazioni e librerie di codici associati".
Bitwarden ha rilasciato un documento PDF che evidenzia i risultati della società di sicurezza durante l'audit e la risposta dell'azienda.
Il termine di ricerca ha rivelato diverse vulnerabilità e problemi in Bitwarden. Bitwarden ha apportato modifiche al proprio software per risolvere immediatamente i problemi urgenti; la società ha modificato il funzionamento degli URI di accesso limitando i protocolli consentiti.
La società ha implementato una whitelist che consente gli schemi https, ssh, http, ftp, sftp, irc e chrome solo al momento opportuno e non altri schemi come file.
Le quattro vulnerabilità rimanenti che il termine di ricerca ha rilevato durante la scansione non ha richiesto un'azione immediata in base all'analisi dei problemi di Bitwarden.
I ricercatori hanno criticato la regola lassista della password principale dell'applicazione di accettare qualsiasi password principale a condizione che sia lunga almeno otto caratteri. Bitwarden prevede di introdurre controlli e notifiche di sicurezza delle password nelle versioni future per incoraggiare gli utenti a selezionare password principali più forti e che non possono essere facilmente violate.
Due dei problemi richiedono un sistema compromesso. Bitwarden non cambia le chiavi di crittografia quando un utente modifica la password principale e un server API compromesso potrebbe essere utilizzato per rubare le chiavi di crittografia. Bitwarden può essere impostato individualmente su un'infrastruttura di proprietà del singolo utente o azienda.
Il problema finale è stato scoperto nella gestione della funzionalità di compilazione automatica di Bitwarden su siti che utilizzano iframe incorporati. La funzionalità di compilazione automatica controlla solo l'indirizzo di livello superiore e non l'URL utilizzato dagli iframe incorporati. Gli attori dannosi potrebbero quindi utilizzare iframe incorporati su siti legittimi per rubare dati di compilazione automatica.
Ora tu : quale gestore di password usi, per quale motivo?
