Bitwarden Desktop应用程序自动下载更新,并用这些更新替换自己的代码,无需用户干预,然后在应用程序的下一次启动时执行。这构成了远程代码执行(RCE)漏洞。
这使得Bitwarden开发人员,或任何危害或胁迫Bitwarden开发人员的人,都可以对世界上每个Bitwarden安装进行后门操作,并窃取存储在每个Bitwarden桌面用户数据库中的所有密码。
内部版本(转到";设置";→";关于";):我不知道,因为BITWARDEN未经同意自动删除了IT。现在是1.22.1,尽管我不希望发生这种情况。
在所有事情中,密码管理器会授予其开发人员完全远程代码执行权限,这一事实简直是疯了。事实上,您将发布这样的功能,这意味着您根本没有资格持有密钥或身份验证凭据,这些密钥或身份验证凭据允许您发布一个新版本,该版本可以根据您的唯一选择,对所有人的安装进行后门操作,并窃取此软件每个用户的所有密码。
从字面上讲,唯一能保证密码安全的是比特沃登团队的善意,以及任何能够危害这些用户/计算机的人的善意。
这不是关于我们永远不会那样做的。如果你的一个家庭成员被绑架了,这是你的要求,你会这么做,我会为你这样做而欢呼,因为物理安全比每个Bitwarden用户拥有的所有密码更重要,而在这种情况下,Bitwarden用户拥有的所有密码都会被泄露。在这种情况下,你会这么做,我会为你这样做而欢呼,因为物理安全比每位Bitwarden用户拥有的所有密码都更重要。如果你的国家军队绑架了你,拿枪指着你的脸(或者干脆用监狱威胁你)并强迫你这么做,你就会这么做,我也会再次鼓励你这么做。
错误是Bitwarden的开发人员不够安全,或者Bitwarden的开发人员不够值得信任。错误在于,Bitwarden员工曾经能够自动替换每个Bitwarden桌面用户系统上的代码,并窃取每个人的所有密码。
更新必须在安装前手动审批,否则Bitwarden的客户端密码加密是毫无意义的,因为如果Bitwarden想要(或被迫),可以推送更新,立即窃取所有密码。
此漏洞存在于vault.bitwarden.com,设计为无法修补,因为默认情况下,Web应用程序必须始终信任服务器(以及通过<;script>;标记和CSP包含的任何第三方,请参阅下面的注释)发送的应用程序的有效性。
然而,桌面应用程序却并非如此,而且这种来自Web的100%服务器信任模型似乎已经不必要地移植到了桌面上。(值得一提的是,在这一点上,如果您100%重新信任服务器,则无需加密密码。)