A Bitwarden contratou a empresa de segurança alemã Cure 53 para auditar a segurança do software e das tecnologias da Bitwarden usados pelo serviço de gerenciamento de senhas.
Bitwarden é uma escolha popular quando se trata de gerenciadores de senhas; é de código aberto, os programas estão disponíveis para todos os principais sistemas operacionais de desktop, plataformas móveis Android e iOS, Web, como extensões de navegador e até mesmo a linha de comando.
O Cure 53 foi contratado para "executar testes de penetração de caixas brancas, auditoria de código-fonte e uma análise criptográfica do ecossistema de aplicativos Bitwarden e bibliotecas de códigos associadas".
A Bitwarden divulgou um documento em PDF que destaca as descobertas da empresa de segurança durante a auditoria e a resposta da empresa.
O termo da pesquisa descobriu várias vulnerabilidades e problemas na Bitwarden. A Bitwarden fez alterações em seu software para tratar de questões urgentes imediatamente; a empresa mudou o funcionamento dos URIs de login, limitando os protocolos permitidos.
A empresa implementou uma lista de permissões que permite os esquemas https, ssh, http, ftp, sftp, irc e chrome apenas no momento e não outros esquemas, como arquivos.
As quatro vulnerabilidades restantes que o termo de pesquisa encontrado durante a verificação não exigiram ação imediata, de acordo com a análise de Bitwarden dos problemas.
Os pesquisadores criticaram a regra de senha mestra do aplicativo, de aceitar qualquer senha mestra, desde que tenha pelo menos oito caracteres. A Bitwarden planeja introduzir verificações e notificações de força de senha em versões futuras para incentivar os usuários a selecionar senhas mestras mais fortes e que não podem ser facilmente quebradas.
Dois dos problemas requerem um sistema comprometido. O Bitwarden não altera as chaves de criptografia quando um usuário altera a senha mestra e um servidor de API comprometido pode ser usado para roubar chaves de criptografia. O Bitwarden pode ser configurado individualmente na infraestrutura pertencente ao usuário ou empresa individual.
A questão final foi descoberta no tratamento da funcionalidade de preenchimento automático da Bitwarden em sites que usam iframes incorporados. A funcionalidade de preenchimento automático verifica apenas o endereço de nível superior e não o URL usado pelos iframes incorporados. Os atores maliciosos podem, portanto, usar iframes incorporados em sites legítimos para roubar dados de preenchimento automático.
Agora você : Qual gerenciador de senhas você usa, por quê?
