1Password исправляет ошибку в версии для Mac, которая могла создать вектор атаки

Согласно сообщению, сделанному 6 августа, менеджер паролей 1Password исправил уязвимость в версии своего программного обеспечения для Mac, которая могла позволить злоумышленнику украсть данные хранилища. Уязвимостью можно было воспользоваться только в том случае, если злоумышленник обманом заставил пользователя установить вредоносное ПО. Некоторые пользователи криптовалюты полагаются на 1Password для хранения резервных копий начальных слов кошелька, закрытых ключей или паролей для обмена.

Согласно раскрытию, уязвимость могла позволить злоумышленнику «злоупотребить отсутствующими межпроцессными проверками, специфичными для macOS, для перехвата или выдачи себя за надежную интеграцию 1Password, такую ​​​​как расширение браузера 1Password или CLI [интерфейс командной строки]», что позволило бызлоумышленник «чтобы украсть предметы из хранилища».

Уязвимость обнаружила команда Robinhood Red. Он был исправлен в версии 8.10.36, и 1Password рекомендует пользователям обновиться до последней версии, чтобы защитить себя от этого вектора атаки.

Джеймсон Лопп, соучредитель поставщика биткоин-кошельков Casa, рассказал об этой проблеме своим последователям 8 августа, пытаясь повысить осведомленность. «Если вы используете 1Password на Mac, обновите его как можно скорее», — заявил Лопп.

Согласно документам разработчиков Apple, версии MacOS 10.0 и выше содержат функцию «усиленной среды выполнения», которую разработчики могут дополнительно использовать для предотвращения определенных видов атак, включая «внедрение кода, перехват динамически связанной библиотеки Library (DLL) и вмешательство в пространство памяти процесса». В своем раскрытии 1Password заявил, что пытается использовать эту функцию, чтобы предотвратить «некоторые локальные атаки» против своих пользователей.

Однако, поскольку в более ранних версиях 1Password отсутствовали некоторые межпроцессные проверки, необходимые для работы этой функции, злоумышленник мог обойти усиленную защиту во время выполнения и провести локальные атаки. Потенциально это может позволить злоумышленнику получить «ключ разблокировки учетной записи и SRP-𝑥».

Согласно документам 1Password, «SRP-x» — это переменная, используемая как часть безопасной системы удаленных паролей программного обеспечения, которая является одним из фрагментов данных, необходимых для доступа к данным хранилища пользователя. Ключ разблокировки учетной записи или пароль учетной записи — это еще одна часть данных, необходимая для этой цели.

Ни исследователи Robinhood Red, ни команда 1Password не нашли никаких доказательств того, что уязвимость действительно использовалась злоумышленником. Для осуществления атаки разработчику вредоносного ПО необходимо было написать программу, специально предназначенную для 1Password для MacO, и им нужно было бы обманом заставить пользователя загрузить и запустить программу.

Последняя версия 1Password устранила уязвимость. Однако пользователям следует проверить свою версию 1Password, чтобы убедиться, что она не ранее 8.10.36.

Связанный: Полное руководство по управлению паролями для энтузиастов криптовалюты.

Хранение начальных слов или закрытых ключей в менеджере паролей может быть рискованным. В декабре 2022 года менеджер паролей LastPass сообщил, что его серверы были взломаны, а зашифрованные хранилища некоторых клиентов были украдены. В следующем месяце пользователь Биткоина подал иск против LastPass, утверждая, что в результате взлома было украдено более 53 000 долларов его Биткоин. Согласно иску, истец хранил свою начальную фразу Биткоин в хранилище LastPass, которое было украдено и расшифровано злоумышленником, что позволило злоумышленнику опустошить его учетную запись Биткоин.