Nieuws

Bitwarden onder vuur in verband met automatisch updaten

dinsdag 22 september 2020, 15:42 door Redactie, 9 reacties

De open-source wachtwoordmanager Bitwarden ligt onder vuur. De software krijgt kritiek omdat het een automatische updatefunctie heeft die onveilig zou kunnen zijn.

De desktop-applicatie van Bitwarden is uitgerust met een updatefunctie die zonder tussenkomst van de gebruiker de laatste nieuwe updates binnenhaalt. De oude code wordt automatisch vervangen door de nieuwe code met de updates die vervolgens bij het herstarten van de applicatie wordt geactiveerd. Beveiligingsonderzoeker Jeffrey Paul stelt op Github dat dit juist een heel onveilige manier van updaten is, vooral als het gaat om zoiets als een wachtwoordmanager.

Volgens Paul zouden ontwikkelaars dankzij die automatische update in staat kunnen zijn om een achterdeur te installeren bij Bitwarden-gebruikers en zo de wachtwoorden kunnen stelen die in de database van het desktopprogramma zijn opgeslagen.

In een reactie aan Techradar laat Bitwarden weten dat dit ‘geen kwetsbaarheid is, maar vooral een manier om het programma, dat door heel veel mensen gebruikt wordt, te voorzien van de laatste en veiligste softwareversie’.

Bitwarden staat voor een dilemma. Achter de schermen wordt er gewerkt aan een plan om de automatische updatefunctie optioneel te maken zodat gebruikers de functie zelf kunnen in- of uitschakelen. Tegelijkertijd moet Bitwarden er ook voor zorgen dat de software aan strenge eisen van security audits blijft voldoen. Volgens het bedrijf is 99,9 procent van de gebruikers tevreden over deze manier van updaten. Er zou ook nog nooit misbruik van zijn gemaakt.

AIVD en MIVD bewaren bulkdata langer dan toegestaan

Mozilla dicht kwetsbaarheid in Firefox voor Android

Reacties (9)

22-09-2020, 18:01 door Anoniem

Volgens het bedrijf is 99,9 procent van de gebruikers tevreden over deze manier van updaten.

Tuurlijk vind ik automatisch updaten leuk. Maar laat het me dan zien en geef me de optie om het aan en uit te zetten. "Automatisch updaten" is ook nog steeds automatisch als je de vraag stelt of mensen willen updaten, het gaat immers om het binnehalen en updaten zelf, en niet om het feit dat je altijd de laatste versie hebt zonder te weten dat je geupdate bent.

23-09-2020, 06:18 door Anoniem

Nah... doe gewoon maar niet.

23-09-2020, 08:15 door soeperees

Jeffrey Paul belicht hier één zijde van de medaille. De andere zijde laat hij buiten beschouwing. Dit mechanisme zorgt ervoor dat alle gebruikers de laatste versie gebruiken en dus niet verder werken met een versie met kwetsbaarheden of bugs. Als je eerst de gebruiker gaat vragen, klikken mensen toch meteen op "ja", dus dat zal de veiligheid ook niet ten goede komen. Kortom een beetje goedkoop om zo te doen of je een "kwetsbaarheid" hebt ontdekt.

23-09-2020, 09:24 door Anoniem

Ideale manier om een password manier aan te vallen, terechte zorg.

23-09-2020, 09:57 door Anoniem

Maar waarom kan dat dan alleen maar "dankzij die automatische update" ?
Dat kan toch altijd? Het duurt wellicht wat langer omdat je moet wachten tot mensen zelf updates installeren, maar als je updates klaarzet (liefst met een "critical" tekstje erbij) dan zullen er altijd wel mensen zijn die ze gaan installeren...
Of anders tref je in ieder geval nog de nieuwe installaties.

23-09-2020, 10:20 door jh81

tsja, als iedereen te vertrouwen was met computers dan was een automatische update functie natuurlijk niet nodig. dan keek iedereen netjes met regelmatig op software websites om te zien of er updates waren. Dan zou iedereen netjes dagelijks de updates installeren.

Vooral die "als" en "zou" ook altijd he..

ALS Amerika een nuke op Rusland ZOU gooien dan hebben we geen wachtwoord managers meer nodig.
En ALS iedereen netjes alle updates ZOU installeren dan waren automatische update routines helemaal niet nodig.

Maar voorlopig gaat Amerika geen kernwapen op Rusland gooien, en mensen gaan ook niet allemaal netjes altijd updaten. Ik vind het een goede zaak. ALS ze het niet zouden doen, en mensen zouden massaal met een lekke wachtwoord beheerder blijven werken, dan ZOU Jeffrey ook wat op te merken hebben.

23-09-2020, 10:51 door Anoniem

Door Anoniem: Ideale manier om een password manier aan te vallen, terechte zorg.

Je bedoelt waarschijnlijk password manager in plaats van password manier!

23-09-2020, 11:01 door Anoniem

Door jh81: tsja, als iedereen te vertrouwen was met computers dan was een automatische update functie natuurlijk niet nodig. dan keek iedereen netjes met regelmatig op software websites om te zien of er updates waren. Dan zou iedereen netjes dagelijks de updates installeren.

Dan heb je nog steeds een zeikende researcher die zegt dat de leverancier van de app 'm zou kunnen trojannen.

Ik zie geen generieke manier voor eindgebruikers om zich te beschermen tegen een maliciuous leverancier van een app die je besloten hebt te gebruiken.

(het hele crypto circus van signed updates e.d. is bedoelt om te garanderen dat de update echt van leverancier afkomstig is. - het scenario van een aandachtzoekende researcher is dat die leverancier malicious zou kunnen zijn/worden . ja - open source - stel voor dat de eindgebruiker iedere update zelf audit. En zelf compileert .Het is tenslotte _zo_ makkelijk code auditen . En de compiler/interpreter leverancier is trusted - sorry Ken T. ).

Misschien moet ie zich volgende week weer in het nieuws pimpen door op te merken dat de OS leverancier ook een trojaned versie zou kunnen leveren die speciaal calls van de password manager onderschept . En dat de auto-update van het OS daarin een risico is.

23-09-2020, 20:41 door [Account Verwijderd]

Door soeperees: Jeffrey Paul belicht hier één zijde van de medaille. De andere zijde laat hij buiten beschouwing. Dit mechanisme zorgt ervoor dat alle gebruikers de laatste versie gebruiken en dus niet verder werken met een versie met kwetsbaarheden of bugs. Als je eerst de gebruiker gaat vragen, klikken mensen toch meteen op "ja", dus dat zal de veiligheid ook niet ten goede komen. Kortom een beetje goedkoop om zo te doen of je een "kwetsbaarheid" hebt ontdekt.

Ik wil hoe dan ook altijd de mogelijkheid hebben om een update uit te stellen. Want mijn workflow is vaak genoeg verstoord door van die updates die de hele zaak om zeep helpen. En daar gaat dan je deadline, want je bent te druk met je software weer in de lucht krijgen.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer