Bitwarden: nuovo update corregge vulnerabilità Windows

Queste giornate della prima metà di giugno stanno vedendo l’arrivo di molte novità per la sicurezza delle credenziali degli internauti. Mentre Google migliora il gestore delle password integrato a Chrome, la soluzione alternativa open source Bitwarden riceve un aggiornamento importante che risolve una grave vulnerabilità correlata a Windows Hello e all’autenticazione biometrica, tramite la quale un malintenzionato poteva accedere a tutte le credenziali salvate in Bitwarden senza la necessità di effettuare il login sicuro, seppur esclusivamente in determinate circostanze.

Bitwarden riceve update importante su Windows

Coloro che usano Bitwarden su sistemi Windows sanno bene che, tramite lo sblocco con Windows Hello, è possibile creare una chiave master biometrica memorizzata nel sistema operativo, da usare ogni volta che si desidera accedere all’app sfruttando l’autenticazione biometrica. Ebbene, gli hacker hanno trovato un modo per sbloccare il “caveau” di credenziali dell’utente senza alcuna forma di autenticazione. In che modo? Inserendo una chiamata alla funzione CredRead e usarla per decifrare i dati salvati in locale, recuperando la master key di Bitwarden.

In questo modo, i file diventano leggibili senza privilegi tramite qualsiasi account Admin nel PC della vittima. Pertanto, l’aggiornamento dell’applicazione era necessario: da oggi è disponibile ufficialmente e risolve il problema, implementando correttamente l’autenticazione di Windows Hello. Per scaricare l’ultima versione di Bitwarden bisogna recarsi sul sito Web ufficiale o, altrimenti, aprire l’app e cliccare su Aiuto > Controlla aggiornamenti. L’update, dunque, introdurrà una password o un PIN all’avvio dell’applicazione quando viene utilizzato Windows Hello, da sfruttare come misura di sicurezza aggiuntiva.

Nel frattempo, pochi giorni addietro è arrivata anche la beta delle passkey di 1Password, altro password manager tra i più usati al mondo.