Aplikacije in dodatni programi
24.09.2020 18:00
Posodobljeno 4 leta nazaj.

Deli z drugimi:

Share

Popularni upravljalnik gesel ima veliko varnostno luknjo

Popularni upravljalnik gesel ima veliko varnostno luknjo
Popularni upravljalnik gesel ima veliko varnostno luknjo

Raziskovalci na področju kiber varnosti so ugotovili, da je popularen upravljalnik gesel zelo ranljiv. Govorimo namreč o takšni varnostni luknji, ki bi lahko hekerjem dopustili krajo gesel uporabnikov. Bitwarden, eden najbolj razširjenih upravljalnikov gesel, v svoji namizni aplikaciji avtomatsko prenaša posodobitve in zamenjuje kodo z novo, brez vedenja uporabnikov.

Soustanovitelj podjetja Keytern.al, Jeffrey Paul pravi, da bi lahko Bitwardnovi razvijalci prilagodili avtomatske posodobitve tako, da bi uporabnikom upravljalnika gesel namestili “backdoor” za vsako namestitev aplikacije in jim na tak način ukradli vsa gesla, ki so shranjena v napravi uporabnika. V objavi na portalu GitHub je Jeffrey Paul razložil, kako je lahko Bitwarden svojim razvijalcem omogočil poln dostop in avtorizacijo za izvršitev delovanja neke kode: “Dejstvo, da upravljalnik gesel omogoča razvijalcem poln dostop do upravljanja s kodo na daljavo, je nepredstavljivo“.

Njegova največja skrb je, da lahko razvijalec, ki v nobenem primeru ne bi smel imeti takšne avtorizacije, brez vedenja uporabnika, objavi in zažene novo kodo. Če k temu dodamo še podatek, da lahko na tak način pride do vseh gesel, ki jih uporabnik hrani v aplikaciji BItwarden, vidimo, o kako resni varnostni težavi govorimo. Paul je dodale še to skrb, da bi lahko različne “third-party” strani vplivale na razvijalce Bitwardna, ki bi jim lahko omogočili dostop do podatkov upravljalnika gesel. Na primer, če bi nekdo imel podatke o razvijalcih, bi jih lahko tako izsiljeval, da bi ga spustili skozi “zadnja vrata”, ali pa bi razvijalcem lahko preprosto plačali, da zamižijo na eno oko.

To je lastnost in ne varnostna luknja

Bitwarden pa ni edini upravljalnik gesel, ki prenaša in namešča posodobitve po lastni volji. Po drugi strani pa moramo razumeti, da bi lahko s tem, ko bi uporabniki imeli možnost, da zavrnejo vse posodobitve, ustvarjalci programske opreme lahko tvegali, da se posodobitve ne nameščajo redno, kar pa pomeni, da se lahko zakomplicira pri odpravi hroščev ipd.

Spletni portal Tech Radar je Bitwarden povprašal za utemeljitev objave Jeffreyja Paula. Izjavili so, da na zadevo ne gledajo kot na varnostno luknjo programske opreme, temveč smatrajo to kot lastnost oz. način, na katerega moderne aplikacije skrbijo, da so velike količine uporabnikov na tekočem z zadnjimi in najbolj varnimi programskimi posodobitvami, na karseda enostaven in hiter način.

Bitwarden načrtuje novo opcijo, kjer bo lahko uporabnik sam izbral, ali si želi avtomatskih posodobitev, ali ne. Istočasno je podjetje predstavilo rigorozne “third-party” recenzije, da bi zagotovili varnost svojih storitev.


Prijavi napako v članku
Vas zanima več iz te teme?
aplikacije za telefone Android aplikacije

Povezave



Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

Zlati partner

TELEMACH d.o.o.

Brnčičeva ulica 49a, 1231 Ljubljana Črnuče, Tel: 070 700 700
Telemach je eno glavnih telekomunikacijskih podjetij v Sloveniji in hkrati najhitreje rastoči mobilni operater v državi. Uporabnikom ponuja napredne televizijske storitve v ločljivostih ... Več
Zlati partner

KONCERN ENA d.o.o.

Koroška cesta 61, 3320 Velenje, Tel: 03 891 95 40
Podjetje IN.PU.T., prodaja računalniške opreme, Tadej Pucelj, s.p. je začelo poslovati v letu 2003,kot internetna trgovina (www.in-put.com) z računalniško opremo. V zadnjih letih ... Več
Bronasti partner

openIT d.o.o.

Dimičeva ulica 13, 1000 Ljubljana, Tel: 01 589 81 89
OpenIT od leta 2012 izvaja poslovna izobraževanja s področja digitalnega marketinga, računovodstva, upravljanja s človeškimi viri (HR), prodaje, prava, financ, time managementa ... Več
Zlati partner

AGENCIJA ODMEV

Gregorčičeva ulica 3, 1000 Ljubljana,