Bitwarden onder vuur in verband met automatisch updaten
De open-source wachtwoordmanager Bitwarden ligt onder vuur. De software krijgt kritiek omdat het een automatische updatefunctie heeft die onveilig zou kunnen zijn.
De desktop-applicatie van Bitwarden is uitgerust met een updatefunctie die zonder tussenkomst van de gebruiker de laatste nieuwe updates binnenhaalt. De oude code wordt automatisch vervangen door de nieuwe code met de updates die vervolgens bij het herstarten van de applicatie wordt geactiveerd. Beveiligingsonderzoeker Jeffrey Paul stelt op Github dat dit juist een heel onveilige manier van updaten is, vooral als het gaat om zoiets als een wachtwoordmanager.
Volgens Paul zouden ontwikkelaars dankzij die automatische update in staat kunnen zijn om een achterdeur te installeren bij Bitwarden-gebruikers en zo de wachtwoorden kunnen stelen die in de database van het desktopprogramma zijn opgeslagen.
In een reactie aan Techradar laat Bitwarden weten dat dit ‘geen kwetsbaarheid is, maar vooral een manier om het programma, dat door heel veel mensen gebruikt wordt, te voorzien van de laatste en veiligste softwareversie’.
Bitwarden staat voor een dilemma. Achter de schermen wordt er gewerkt aan een plan om de automatische updatefunctie optioneel te maken zodat gebruikers de functie zelf kunnen in- of uitschakelen. Tegelijkertijd moet Bitwarden er ook voor zorgen dat de software aan strenge eisen van security audits blijft voldoen. Volgens het bedrijf is 99,9 procent van de gebruikers tevreden over deze manier van updaten. Er zou ook nog nooit misbruik van zijn gemaakt.
Tuurlijk vind ik automatisch updaten leuk. Maar laat het me dan zien en geef me de optie om het aan en uit te zetten. "Automatisch updaten" is ook nog steeds automatisch als je de vraag stelt of mensen willen updaten, het gaat immers om het binnehalen en updaten zelf, en niet om het feit dat je altijd de laatste versie hebt zonder te weten dat je geupdate bent.
Dat kan toch altijd? Het duurt wellicht wat langer omdat je moet wachten tot mensen zelf updates installeren, maar als je updates klaarzet (liefst met een "critical" tekstje erbij) dan zullen er altijd wel mensen zijn die ze gaan installeren...
Of anders tref je in ieder geval nog de nieuwe installaties.
Vooral die "als" en "zou" ook altijd he..
ALS Amerika een nuke op Rusland ZOU gooien dan hebben we geen wachtwoord managers meer nodig.
En ALS iedereen netjes alle updates ZOU installeren dan waren automatische update routines helemaal niet nodig.
Maar voorlopig gaat Amerika geen kernwapen op Rusland gooien, en mensen gaan ook niet allemaal netjes altijd updaten. Ik vind het een goede zaak. ALS ze het niet zouden doen, en mensen zouden massaal met een lekke wachtwoord beheerder blijven werken, dan ZOU Jeffrey ook wat op te merken hebben.
Dan heb je nog steeds een zeikende researcher die zegt dat de leverancier van de app 'm zou kunnen trojannen.
Ik zie geen generieke manier voor eindgebruikers om zich te beschermen tegen een maliciuous leverancier van een app die je besloten hebt te gebruiken.
(het hele crypto circus van signed updates e.d. is bedoelt om te garanderen dat de update echt van leverancier afkomstig is. - het scenario van een aandachtzoekende researcher is dat die leverancier malicious zou kunnen zijn/worden . ja - open source - stel voor dat de eindgebruiker iedere update zelf audit. En zelf compileert .Het is tenslotte _zo_ makkelijk code auditen . En de compiler/interpreter leverancier is trusted - sorry Ken T. ).
Misschien moet ie zich volgende week weer in het nieuws pimpen door op te merken dat de OS leverancier ook een trojaned versie zou kunnen leveren die speciaal calls van de password manager onderschept . En dat de auto-update van het OS daarin een risico is.
Ik wil hoe dan ook altijd de mogelijkheid hebben om een update uit te stellen. Want mijn workflow is vaak genoeg verstoord door van die updates die de hele zaak om zeep helpen. En daar gaat dan je deadline, want je bent te druk met je software weer in de lucht krijgen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.