Диспетчер паролей с открытым исходным кодом Bitwarden Password Manager поддерживает биометрические методы аутентификации. В приложении для Windows поддерживается служба Windows Hello, позволяющая использовать биометрическую аутентификацию для доступа к своим паролям и другим данным хранилища. Однако до недавнего времени можно было использовать сохраненные данные для доступа к хранилищу пользователя без аутентификации в определенных ситуациях.
Уязвимость позволяла любому лицу, имеющему локальный доступ к компьютеру с установленным Bitwarden и включенной разблокировкой Windows Hello, просматривать все содержимое хранилища. Злоумышленники также могли использовать API-вызовы для изменения данных и их обновления на сервере Bitwarden.
Пользователь приложения Bitwarden для Windows может настроить разблокировку своего хранилища через Windows Hello, выбрав Файл > Настройки > Разблокировать с Windows Hello. Диспетчер паролей создает биометрический мастер-ключ при выборе этого параметра и сохраняет его в наборе учетных данных пользователя в системе.
При правильной реализации аутентификации пользователям предлагается пройти аутентификацию, чтобы разблокировать доступ к хранилищу. В сообщении на Hacker One объясняется, что на самом деле аутентификация через Windows Hello была не нужна и любой пользователь с доступом к системе, мог закомментировать строку, чтобы разблокировать хранилище пользователя без какой-либо формы аутентификации.
Автор публикации поясняет:
Биометрический мастер-ключ фактически может быть получен с помощью простого вызова функции CredRead в Windows API, а затем использован для расшифровки локально сохраненных данных, находящихся в %appdata%\Bitwarden\data.json. Поэтому запрос аутентификации с помощью Windows Hello дает пользователю ложное ощущение безопасности, создавая впечатление, что для расшифровки данных хранилища требуется аутентификация, хотя на самом деле это не так.
Файлы могут быть прочитаны без повышения привилегий, и они также доступны для любой учетной записи администратора. Проблема затрагивает пользователей Bitwarden для Windows, которые выбрали использование Windows Hello для разблокировки доступа к хранилищу.
Исправление проблемы
Разработчики Bitwarden выпустили обновление для Windows, которое решает проблему и правильно реализует аутентификацию Windows Hello. Новые и существующие пользователи могут скачать последнюю версию с нашего сайта. Также можно воспользоваться встроенной службой обновлений, выбрав Помощь > Проверка обновлений…
Скачать Bitwarden Password Manager
Пользователи Bitwarden в Windows должны убедиться, что на их устройствах установлена версия 2023.4.0 или новее. Клиент отображает установленную версию, когда выбран пункт Помощь > О Bitwarden.
В новую версию добавлена функция безопасности Требовать пароль или PIN-код при запуске приложения, которая запрашивает пароль или ПИН-код при запуске Bitwarden с Windows Hello. Ее можно найти в настройках приложения.
В марте этого года эксперты по безопасности рекомендовали не использовать PIN-код для разблокировки хранилища Bitwarden или использовать очень сложный ПИН. Это связано с тем, что постороннее лицо с локальным доступом к системе может подобрать PIN-код методом перебора.
Обновления программ, что нового
• OnePlus под прицелом: США проверят китайские смартфоны на безопасность
• Обновление NVIDIA GeForce Game Ready 576.88 WHQL. Поддержка GeForce RTX 5050 для настольных ПК и ноутбуков
• NVIDIA прекратит поддержку видеокарт GeForce GTX 700, 900 и 10-й серии в новой ветке драйверов R580
• Персонализированная «Алиса» на базе YandexGPT 5 Pro стала доступна подписчикам Яндекс Плюса с опцией «Про»
• Яндекс отменил плату за большинство функций нейросети «Алиса» на базе YandexGPT 5 Pro
• AMD Radeon Software Adrenalin 25.6.3 Non-WHQL. Поддержка FSR 4 для Monster Hunter Wilds и GTA V Enhanced