Bitwarden ว่าจ้าง บริษัท รักษาความปลอดภัยเยอรมัน Cure 53 เพื่อตรวจสอบความปลอดภัยของซอฟต์แวร์ Bitwarden และเทคโนโลยีที่ใช้โดยบริการการจัดการรหัสผ่าน
Bitwarden เป็นตัวเลือกยอดนิยมสำหรับผู้จัดการรหัสผ่าน มันเป็นโอเพนซอร์ซมีโปรแกรมสำหรับระบบปฏิบัติการเดสก์ท็อปหลักทั้งหมดแพลตฟอร์ม Android และ iOS มือถือเว็บเป็นส่วนขยายเบราว์เซอร์และแม้แต่บรรทัดคำสั่ง
Cure 53 ได้รับการว่าจ้างให้ "ทำการทดสอบการเจาะทะลุกล่องสีขาวการตรวจสอบซอร์สโค้ดและการวิเคราะห์การเข้ารหัสของระบบนิเวศ Bitwarden ของแอปพลิเคชันและไลบรารีโค้ดที่เกี่ยวข้อง"
Bitwarden เปิดตัวเอกสาร PDF ที่เน้นการค้นพบของ บริษัท รักษาความปลอดภัยระหว่างการตรวจสอบและการตอบสนองของ บริษัท
เงื่อนไขการวิจัยเปิดเผยช่องโหว่และปัญหาต่างๆใน Bitwarden Bitwarden ทำการเปลี่ยนแปลงซอฟต์แวร์เพื่อแก้ไขปัญหาการกดในทันที บริษัท เปลี่ยนวิธีการเข้าสู่ระบบ URIs โดย จำกัด โปรโตคอลที่ได้รับอนุญาต
บริษัท ดำเนินการบัญชีที่อนุญาตที่อนุญาตให้ใช้รูปแบบ https, ssh, http, ftp, sftp, irc และโครเมี่ยม ณ เวลานั้นเท่านั้นและไม่ใช่แบบแผนอื่นเช่นไฟล์
ช่องโหว่ที่เหลืออีกสี่ช่องที่คำวิจัยที่พบในระหว่างการสแกนไม่ต้องการการดำเนินการทันทีตามการวิเคราะห์ของ Bitwarden
นักวิจัยได้วิจารณ์กฎรหัสผ่าน lax master ของแอปพลิเคชันว่ายอมรับรหัสผ่านหลักใด ๆ โดยมีความยาวอย่างน้อยแปดอักขระ Bitwarden วางแผนที่จะแนะนำการตรวจสอบความแข็งแรงของรหัสผ่านและการแจ้งเตือนในรุ่นอนาคตเพื่อกระตุ้นให้ผู้ใช้เลือกรหัสผ่านหลักที่แข็งแกร่งและไม่แตกง่าย
ปัญหาสองข้อต้องการระบบที่ถูกบุกรุก Bitwarden ไม่เปลี่ยนคีย์การเข้ารหัสเมื่อผู้ใช้เปลี่ยนรหัสผ่านหลักและเซิร์ฟเวอร์ API ที่ถูกบุกรุกสามารถใช้เพื่อขโมยคีย์การเข้ารหัสได้ Bitwarden สามารถตั้งค่าเป็นรายบุคคลบนโครงสร้างพื้นฐานที่เป็นของผู้ใช้หรือ บริษัท
ปัญหาสุดท้ายถูกค้นพบในการจัดการฟังก์ชั่นป้อนอัตโนมัติของ Bitwarden บนเว็บไซต์ที่ใช้ iframe แบบฝัง ฟังก์ชั่นป้อนอัตโนมัติจะตรวจสอบเฉพาะที่อยู่ระดับบนสุดเท่านั้นไม่ใช่ URL ที่ใช้โดย iframe แบบฝัง นักแสดงที่เป็นอันตรายอาจใช้ iframe ที่ฝังอยู่ในเว็บไซต์ที่ถูกกฎหมายเพื่อขโมยข้อมูลป้อนอัตโนมัติ
ตอนนี้คุณ : ผู้จัดการรหัสผ่านที่คุณใช้ทำไม?
