Popularni upravljalnik gesel ima veliko varnostno luknjo

Raziskovalci na področju kiber varnosti so ugotovili, da je popularen upravljalnik gesel zelo ranljiv. Govorimo namreč o takšni varnostni luknji, ki bi lahko hekerjem dopustili krajo gesel uporabnikov. Bitwarden, eden najbolj razširjenih upravljalnikov gesel, v svoji namizni aplikaciji avtomatsko prenaša posodobitve in zamenjuje kodo z novo, brez vedenja uporabnikov.

Soustanovitelj podjetja Keytern.al, Jeffrey Paul pravi, da bi lahko Bitwardnovi razvijalci prilagodili avtomatske posodobitve tako, da bi uporabnikom upravljalnika gesel namestili “backdoor” za vsako namestitev aplikacije in jim na tak način ukradli vsa gesla, ki so shranjena v napravi uporabnika. V objavi na portalu GitHub je Jeffrey Paul razložil, kako je lahko Bitwarden svojim razvijalcem omogočil poln dostop in avtorizacijo za izvršitev delovanja neke kode: “Dejstvo, da upravljalnik gesel omogoča razvijalcem poln dostop do upravljanja s kodo na daljavo, je nepredstavljivo“.

Njegova največja skrb je, da lahko razvijalec, ki v nobenem primeru ne bi smel imeti takšne avtorizacije, brez vedenja uporabnika, objavi in zažene novo kodo. Če k temu dodamo še podatek, da lahko na tak način pride do vseh gesel, ki jih uporabnik hrani v aplikaciji BItwarden, vidimo, o kako resni varnostni težavi govorimo. Paul je dodale še to skrb, da bi lahko različne “third-party” strani vplivale na razvijalce Bitwardna, ki bi jim lahko omogočili dostop do podatkov upravljalnika gesel. Na primer, če bi nekdo imel podatke o razvijalcih, bi jih lahko tako izsiljeval, da bi ga spustili skozi “zadnja vrata”, ali pa bi razvijalcem lahko preprosto plačali, da zamižijo na eno oko.

To je lastnost in ne varnostna luknja

Bitwarden pa ni edini upravljalnik gesel, ki prenaša in namešča posodobitve po lastni volji. Po drugi strani pa moramo razumeti, da bi lahko s tem, ko bi uporabniki imeli možnost, da zavrnejo vse posodobitve, ustvarjalci programske opreme lahko tvegali, da se posodobitve ne nameščajo redno, kar pa pomeni, da se lahko zakomplicira pri odpravi hroščev ipd.

Spletni portal Tech Radar je Bitwarden povprašal za utemeljitev objave Jeffreyja Paula. Izjavili so, da na zadevo ne gledajo kot na varnostno luknjo programske opreme, temveč smatrajo to kot lastnost oz. način, na katerega moderne aplikacije skrbijo, da so velike količine uporabnikov na tekočem z zadnjimi in najbolj varnimi programskimi posodobitvami, na karseda enostaven in hiter način.

Bitwarden načrtuje novo opcijo, kjer bo lahko uporabnik sam izbral, ali si želi avtomatskih posodobitev, ali ne. Istočasno je podjetje predstavilo rigorozne “third-party” recenzije, da bi zagotovili varnost svojih storitev.