Bitwarden은 암호 관리 서비스에서 사용하는 Bitwarden 소프트웨어 및 기술의 보안을 감사하기 위해 독일 보안 회사 인 Cure 53을 고용했습니다.
Bitwarden은 암호 관리자와 관련하여 널리 사용됩니다. 오픈 소스이며 모든 주요 데스크탑 운영 체제, Android 및 iOS 모바일 플랫폼, 웹, 브라우저 확장 및 명령 줄에 사용할 수있는 프로그램입니다.
Cure 53은 "화이트 박스 침투 테스트, 소스 코드 감사 및 Bitwarden 에코 시스템 응용 프로그램 및 관련 코드 라이브러리의 암호화 분석"을 수행하기 위해 고용되었습니다.
Bitwarden은 감사 중 보안 회사의 발견과 회사의 대응을 강조한 PDF 문서를 발표했습니다.
이 연구 용어는 Bitwarden의 여러 가지 취약점과 문제점을 발견했습니다. Bitwarden은 긴급한 문제를 즉시 해결하기 위해 소프트웨어를 변경했습니다. 회사는 허용 된 프로토콜을 제한하여 로그인 URI 작동 방식을 변경했습니다.
이 회사는 https, ssh, http, ftp, sftp, irc 및 chrome 체계를 특정 시점에서만 허용하고 파일과 같은 다른 체계는 허용하지 않는 화이트리스트를 구현했습니다.
검색 중에 연구 용어가 발견 한 나머지 4 가지 취약점은 Bitwarden의 문제 분석에 따라 즉각적인 조치가 필요하지 않았습니다.
연구원은 최소 8 자 이상인 경우 모든 마스터 비밀번호를 승인하는 애플리케이션의 lax 마스터 비밀번호 규칙을 비판했습니다. Bitwarden은 향후 버전에서 비밀번호 강도 검사 및 알림을 도입하여 사용자가 더 강력하고 쉽게 깨지지 않는 마스터 비밀번호를 선택하도록 권장합니다.
두 가지 문제에는 손상된 시스템이 필요합니다. 사용자가 마스터 비밀번호를 변경하고 손상된 API 서버를 사용하여 암호화 키를 도용 할 때 Bitwarden은 암호화 키를 변경하지 않습니다. Bitwarden은 개별 사용자 또는 회사가 소유 한 인프라에서 개별적으로 설정할 수 있습니다.
마지막 문제는 임베디드 iframe을 사용하는 사이트에서 Bitwarden의 자동 완성 기능을 처리 할 때 발견되었습니다. 자동 완성 기능은 내장 iframe에서 사용하는 URL이 아닌 최상위 주소 만 확인합니다. 따라서 악의적 인 행위자는 합법적 인 사이트에 내장 된 iframe을 사용하여 자동 완성 데이터를 훔칠 수 있습니다.
Now You : 어떤 암호 관리자를 사용합니까? 그 이유는 무엇입니까?
