Bitwarden, Bitwarden yazılımının ve şifre yönetimi hizmeti tarafından kullanılan teknolojilerin güvenliğini denetlemek için Alman güvenlik şirketi Cure 53'i işe aldı.
Bitwarden, şifre yöneticileri söz konusu olduğunda popüler bir seçimdir; açık kaynak kodludur, programlar tüm ana masaüstü işletim sistemlerinde, Android ve iOS mobil platformlarında, Web'de, tarayıcı uzantıları olarak ve hatta komut satırında kullanılabilir.
Cure 53, "beyaz kutu penetrasyon testi, kaynak kodu denetimi ve Bitwarden uygulama ekosistemi ve ilgili kod kitaplıklarının kriptografik analizini yapmak" için işe alındı.
Bitwarden, denetim sırasında güvenlik şirketinin bulgularını ve şirketin tepkisini vurgulayan bir PDF belgesi yayınladı.
Araştırma terimi, Bitwarden'deki bazı açıkları ve sorunları ortaya çıkardı. Bitwarden, acil sorunları derhal ele almak için yazılımında değişiklikler yaptı; şirket, oturum açma URI'larının izin verilen protokolleri kısıtlayarak çalışma şeklini değiştirdi.
Şirket, sadece https, ssh, http, ftp, sftp, irc ve krom şemalarına izin veren ve dosya gibi diğer şemaları değil, sadece zaman noktasında bulunan beyaz listeyi uyguladı.
Tarama sırasında araştırma teriminde bulunan dört güvenlik açığı, Bitwarden'in sorunları incelemesine göre derhal harekete geçilmesini gerektirmedi.
Araştırmacılar, en az sekiz karakter uzunluğunda olması kaydıyla, uygulamanın gevşek ana şifre kuralını kabul etti. Bitwarden, kullanıcıları daha güçlü ve kolay kırılmayan ana parolalar seçmeye teşvik etmek için gelecek sürümlerde parola gücü kontrolleri ve bildirimleri sunmayı planlıyor.
Meselelerden ikisi tehlikeye girmiş bir sistem gerektiriyor. Bir kullanıcı ana şifreyi değiştirdiğinde Bitwarden şifreleme anahtarlarını değiştirmez ve şifreleme anahtarlarını çalmak için tehlikeli bir API sunucusu kullanılabilir. Bitwarden, bireysel kullanıcı veya şirketin sahip olduğu altyapı üzerine ayrı ayrı kurulabilir.
Son sorun, gömülü iframe kullanan sitelerde Bitwarden'in otomatik doldurma işlevselliğinin ele alınmasında keşfedildi. Otomatik doldurma işlevi, gömülü iframe'ler tarafından kullanılan URL'yi değil, yalnızca üst düzey adresi kontrol eder. Kötü niyetli oyuncular bu nedenle otomatik doldurma verilerini çalmak için meşru sitelerdeki gömülü iframe'leri kullanabilirler.
Şimdi Siz : Hangi şifre yöneticisini kullanıyorsunuz, neden?
