Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Bitwarden: ciekawa podatność umożliwiająca odczytanie z pamięci hasła głównego do tego managera haseł (nawet kiedy już zablokujemy managera).
Opis problemu dostępny jest tutaj. W telegraficznym skrócie:
- Podatna jest wersja desktopowa Bitwardena oraz rozszerzenie do przeglądarek (aktualizacja: wtyczka przeglądarkowa – przynajmniej do Chrome, wygląda na już załataną)
- Żeby zdumpować główne hasło należy mieć lokalny dostęp do komputera, gdzie działa klient Bitwarden oraz manager musiał być co najmniej raz odblokowany
- PoC narzędzia dostępny jest tutaj (uruchamiajcie na własne ryzyko)
Nota bene: podobna podatność (obecnie już załatana) występowała swego czasu w KeePassie.
~ms
Czyli korzystając tylko z wersji webowej mogę spać spokojnie? Przynajmniej na razie?
A co z aplikacją na Androida?
W sumie jak już i tak ktoś jest się dostanie do Twojego kompa to i tak pozamiatane ;)
… i tutaj do gry wchodzi 2FA, najlepiej Yubikey, który nawet pozostawiony z porcie USB nie pozwoli wejść bez dotknięcia płytki.