Aplikacije in dodatni programi
24.09.2020 18:00
Posodobljeno 4 leta nazaj.

Deli z drugimi:

Share

Popularni upravljalnik gesel ima veliko varnostno luknjo

Popularni upravljalnik gesel ima veliko varnostno luknjo
Popularni upravljalnik gesel ima veliko varnostno luknjo

Raziskovalci na področju kiber varnosti so ugotovili, da je popularen upravljalnik gesel zelo ranljiv. Govorimo namreč o takšni varnostni luknji, ki bi lahko hekerjem dopustili krajo gesel uporabnikov. Bitwarden, eden najbolj razširjenih upravljalnikov gesel, v svoji namizni aplikaciji avtomatsko prenaša posodobitve in zamenjuje kodo z novo, brez vedenja uporabnikov.

Soustanovitelj podjetja Keytern.al, Jeffrey Paul pravi, da bi lahko Bitwardnovi razvijalci prilagodili avtomatske posodobitve tako, da bi uporabnikom upravljalnika gesel namestili “backdoor” za vsako namestitev aplikacije in jim na tak način ukradli vsa gesla, ki so shranjena v napravi uporabnika. V objavi na portalu GitHub je Jeffrey Paul razložil, kako je lahko Bitwarden svojim razvijalcem omogočil poln dostop in avtorizacijo za izvršitev delovanja neke kode: “Dejstvo, da upravljalnik gesel omogoča razvijalcem poln dostop do upravljanja s kodo na daljavo, je nepredstavljivo“.

Njegova največja skrb je, da lahko razvijalec, ki v nobenem primeru ne bi smel imeti takšne avtorizacije, brez vedenja uporabnika, objavi in zažene novo kodo. Če k temu dodamo še podatek, da lahko na tak način pride do vseh gesel, ki jih uporabnik hrani v aplikaciji BItwarden, vidimo, o kako resni varnostni težavi govorimo. Paul je dodale še to skrb, da bi lahko različne “third-party” strani vplivale na razvijalce Bitwardna, ki bi jim lahko omogočili dostop do podatkov upravljalnika gesel. Na primer, če bi nekdo imel podatke o razvijalcih, bi jih lahko tako izsiljeval, da bi ga spustili skozi “zadnja vrata”, ali pa bi razvijalcem lahko preprosto plačali, da zamižijo na eno oko.

To je lastnost in ne varnostna luknja

Bitwarden pa ni edini upravljalnik gesel, ki prenaša in namešča posodobitve po lastni volji. Po drugi strani pa moramo razumeti, da bi lahko s tem, ko bi uporabniki imeli možnost, da zavrnejo vse posodobitve, ustvarjalci programske opreme lahko tvegali, da se posodobitve ne nameščajo redno, kar pa pomeni, da se lahko zakomplicira pri odpravi hroščev ipd.

Spletni portal Tech Radar je Bitwarden povprašal za utemeljitev objave Jeffreyja Paula. Izjavili so, da na zadevo ne gledajo kot na varnostno luknjo programske opreme, temveč smatrajo to kot lastnost oz. način, na katerega moderne aplikacije skrbijo, da so velike količine uporabnikov na tekočem z zadnjimi in najbolj varnimi programskimi posodobitvami, na karseda enostaven in hiter način.

Bitwarden načrtuje novo opcijo, kjer bo lahko uporabnik sam izbral, ali si želi avtomatskih posodobitev, ali ne. Istočasno je podjetje predstavilo rigorozne “third-party” recenzije, da bi zagotovili varnost svojih storitev.


Prijavi napako v članku
Vas zanima več iz te teme?
aplikacije za telefone Android aplikacije

Povezave



Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

Zlati partner

Brown Bear Team (BBT)

Gmajna 16, 1236 Trzin, Tel: 01 5622665
POSLOVNA linija – najboljši računalniki posameznega proizvajalca Računalniki iz POSLOVNE linije so tisti, na katere se lahko zanesemo, saj gre za izdelke najvišje kakovosti ... Več
Zlati partner

Kontron, d. o. o.

Ljubljanska cesta 24a, 4000 Kranj, Tel: 04 207 20 00
Vodilni evropski ponudnik komunikacijskih rešitev za digitalno preobrazbo Z več kot 70 leti izkušenj je podjetje Kontron vodilni evropski ponudnik komunikacijskih rešitev za digitalno ... Več
Zlati partner

MOJA ZAPOSLITEV d.o.o., Optius.com

Borovec 2, 1236 Trzin, Tel: 01 810 02 00
Optius.com - Karierni portal za nove čase Karierni portal Optius.com je zaposlitveni portal, namenjen tistim, ki iščejo zaposlitev in tistim, ki iščejo nov kader. ... Več
Zlati partner

Kaspersky

, ,
Kaspersky je globalno priznano podjetje, specializirano za raziskovanje, razvoj in ponudbo visoko zmogljivih varnostnih rešitev za informacijsko varnost in zaščito pred spletnimi ... Več