Категории: Новости

1Password исправляет ошибку в версии для Mac, которая могла создать вектор атаки

Согласно сообщению, сделанному 6 августа, менеджер паролей 1Password исправил уязвимость в версии своего программного обеспечения для Mac, которая могла позволить злоумышленнику украсть данные хранилища. Уязвимостью можно было воспользоваться только в том случае, если злоумышленник обманом заставил пользователя установить вредоносное ПО. Некоторые пользователи криптовалюты полагаются на 1Password для хранения резервных копий начальных слов кошелька, закрытых ключей или паролей для обмена.

Согласно раскрытию, уязвимость могла позволить злоумышленнику «злоупотребить отсутствующими межпроцессными проверками, специфичными для macOS, для перехвата или выдачи себя за надежную интеграцию 1Password, такую ​​​​как расширение браузера 1Password или CLI [интерфейс командной строки]», что позволило бызлоумышленник «чтобы украсть предметы из хранилища».

Уязвимость обнаружила команда Robinhood Red. Он был исправлен в версии 8.10.36, и 1Password рекомендует пользователям обновиться до последней версии, чтобы защитить себя от этого вектора атаки.

Джеймсон Лопп, соучредитель поставщика биткоин-кошельков Casa, рассказал об этой проблеме своим последователям 8 августа, пытаясь повысить осведомленность. «Если вы используете 1Password на Mac, обновите его как можно скорее», — заявил Лопп.

Источник: Джеймсон Лопп

Согласно документам разработчиков Apple, версии MacOS 10.0 и выше содержат функцию «усиленной среды выполнения», которую разработчики могут дополнительно использовать для предотвращения определенных видов атак, включая «внедрение кода, перехват динамически связанной библиотеки Library (DLL) и вмешательство в пространство памяти процесса». В своем раскрытии 1Password заявил, что пытается использовать эту функцию, чтобы предотвратить «некоторые локальные атаки» против своих пользователей.

Однако, поскольку в более ранних версиях 1Password отсутствовали некоторые межпроцессные проверки, необходимые для работы этой функции, злоумышленник мог обойти усиленную защиту во время выполнения и провести локальные атаки. Потенциально это может позволить злоумышленнику получить «ключ разблокировки учетной записи и SRP-𝑥».

Согласно документам 1Password, «SRP-x» — это переменная, используемая как часть безопасной системы удаленных паролей программного обеспечения, которая является одним из фрагментов данных, необходимых для доступа к данным хранилища пользователя. Ключ разблокировки учетной записи или пароль учетной записи — это еще одна часть данных, необходимая для этой цели.

Ни исследователи Robinhood Red, ни команда 1Password не нашли никаких доказательств того, что уязвимость действительно использовалась злоумышленником. Для осуществления атаки разработчику вредоносного ПО необходимо было написать программу, специально предназначенную для 1Password для MacO, и им нужно было бы обманом заставить пользователя загрузить и запустить программу.

Последняя версия 1Password устранила уязвимость. Однако пользователям следует проверить свою версию 1Password, чтобы убедиться, что она не ранее 8.10.36.

Связанный: Полное руководство по управлению паролями для энтузиастов криптовалюты.

Хранение начальных слов или закрытых ключей в менеджере паролей может быть рискованным. В декабре 2022 года менеджер паролей LastPass сообщил, что его серверы были взломаны, а зашифрованные хранилища некоторых клиентов были украдены. В следующем месяце пользователь Биткоина подал иск против LastPass, утверждая, что в результате взлома было украдено более 53 000 долларов его Биткоин. Согласно иску, истец хранил свою начальную фразу Биткоин в хранилище LastPass, которое было украдено и расшифровано злоумышленником, что позволило злоумышленнику опустошить его учетную запись Биткоин.

Alexander Zhdanov

Автор и инвестор в криптовалюты, являюсь экспертом в этой области. Не только пишу статьи о криптовалютах и блокчейн технологиях, но и являюсь активным участником криптосообщества, занимающимся инвестированием в различные криптовалюты. Использую знания и опыт в написании статей, чтобы помочь читателям понять сложные аспекты криптоиндустрии и принимать обоснованные решения относительно инвестирования в криптовалюты. Делюсь личными опытами и инсайтами, полученными в ходе инвестиций, чтобы помочь другим инвесторам делать обоснованные выборы.

Недавние статьи

Государственные пенсионные планы могут легче использовать криптовалюту, чем частные планы

Государственным пенсионным планам легче распределять часть своих активов в криптовалютах по сравнению с частными пенсионными…

3 часа ago

Ассоциация блокчейн определила приоритеты криптовалют на первые 100 дней правления Трампа

22 ноября правозащитная группа Blockchain Association из Вашингтона, округ Колумбия, направила письмо Дональду Трампу с…

4 часа ago

Биткоин стоимостью 99 тысяч долларов отреагировал на объявление Генслера об уходе из SEC

Биткоин (BTC) в четверг подскочил выше 99 000 долларов, установив новый рубеж, а затем немного…

4 часа ago

Биткоин, не обеспокоенный истечением срока действия опционов на 2,6 миллиарда долларов, продолжает расти до 100 тысяч долларов

Биткоин остается на пути к отметке в 100 000 долларов, несмотря на опасения инвесторов по…

7 часов ago

Токен Ethena растет благодаря интеграции USDe с Deribit

Deribit, одна из крупнейших в мире бирж криптовалютных деривативов, планирует интегрировать синтетический доллар Ethena USDe…

8 часов ago

Allianz, крупнейший страховщик Германии, покупает 24% облигаций MicroStrategy на сумму 2,6 миллиарда долларов.

Крупнейшая страховая компания Германии Allianz приобрела почти четверть конвертируемых банкнот MicroStrategy на сумму 2,6 миллиарда…

9 часов ago