Диспетчер паролей с открытым исходным кодом Bitwarden Password Manager поддерживает биометрические методы аутентификации. В приложении для Windows поддерживается служба Windows Hello, позволяющая использовать биометрическую аутентификацию для доступа к своим паролям и другим данным хранилища. Однако до недавнего времени можно было использовать сохраненные данные для доступа к хранилищу пользователя без аутентификации в определенных ситуациях.
Уязвимость позволяла любому лицу, имеющему локальный доступ к компьютеру с установленным Bitwarden и включенной разблокировкой Windows Hello, просматривать все содержимое хранилища. Злоумышленники также могли использовать API-вызовы для изменения данных и их обновления на сервере Bitwarden.
Пользователь приложения Bitwarden для Windows может настроить разблокировку своего хранилища через Windows Hello, выбрав Файл > Настройки > Разблокировать с Windows Hello. Диспетчер паролей создает биометрический мастер-ключ при выборе этого параметра и сохраняет его в наборе учетных данных пользователя в системе.
При правильной реализации аутентификации пользователям предлагается пройти аутентификацию, чтобы разблокировать доступ к хранилищу. В сообщении на Hacker One объясняется, что на самом деле аутентификация через Windows Hello была не нужна и любой пользователь с доступом к системе, мог закомментировать строку, чтобы разблокировать хранилище пользователя без какой-либо формы аутентификации.
Автор публикации поясняет:
Биометрический мастер-ключ фактически может быть получен с помощью простого вызова функции CredRead в Windows API, а затем использован для расшифровки локально сохраненных данных, находящихся в %appdata%\Bitwarden\data.json. Поэтому запрос аутентификации с помощью Windows Hello дает пользователю ложное ощущение безопасности, создавая впечатление, что для расшифровки данных хранилища требуется аутентификация, хотя на самом деле это не так.
Файлы могут быть прочитаны без повышения привилегий, и они также доступны для любой учетной записи администратора. Проблема затрагивает пользователей Bitwarden для Windows, которые выбрали использование Windows Hello для разблокировки доступа к хранилищу.
Исправление проблемы
Разработчики Bitwarden выпустили обновление для Windows, которое решает проблему и правильно реализует аутентификацию Windows Hello. Новые и существующие пользователи могут скачать последнюю версию с нашего сайта. Также можно воспользоваться встроенной службой обновлений, выбрав Помощь > Проверка обновлений…
Скачать Bitwarden Password Manager
Пользователи Bitwarden в Windows должны убедиться, что на их устройствах установлена версия 2023.4.0 или новее. Клиент отображает установленную версию, когда выбран пункт Помощь > О Bitwarden.
В новую версию добавлена функция безопасности Требовать пароль или PIN-код при запуске приложения, которая запрашивает пароль или ПИН-код при запуске Bitwarden с Windows Hello. Ее можно найти в настройках приложения.
В марте этого года эксперты по безопасности рекомендовали не использовать PIN-код для разблокировки хранилища Bitwarden или использовать очень сложный ПИН. Это связано с тем, что постороннее лицо с локальным доступом к системе может подобрать PIN-код методом перебора.
Обновления программ, что нового
• One UI 8: график выхода, поддерживаемые устройства Samsung Galaxy и ключевые изменения
• Яндекс Браузер запускает альфа-тест Алисы в режиме ИИ-агента: автономное выполнение поручений в интернете
• Huawei Mate XTs: дата выхода, характеристики камеры и чипсета, ключевые подробности
• Обновление AnyDesk 9.6.0: темная тема, возобновление копирования файлов и другие улучшения
• Обновление Intel ARC Game On Driver 32.0.101.7028 Non-WHQL. Поддержка Hell is Us и Metal Gear Solid Delta: Snake Eater
• Драйверы для видеокарт NVIDIA, AMD, Intel: Обновления Game Ready для Windows 11 и Windows 10