Категории: Новости

1Password исправляет ошибку в версии для Mac, которая могла создать вектор атаки

Согласно сообщению, сделанному 6 августа, менеджер паролей 1Password исправил уязвимость в версии своего программного обеспечения для Mac, которая могла позволить злоумышленнику украсть данные хранилища. Уязвимостью можно было воспользоваться только в том случае, если злоумышленник обманом заставил пользователя установить вредоносное ПО. Некоторые пользователи криптовалюты полагаются на 1Password для хранения резервных копий начальных слов кошелька, закрытых ключей или паролей для обмена.

Согласно раскрытию, уязвимость могла позволить злоумышленнику «злоупотребить отсутствующими межпроцессными проверками, специфичными для macOS, для перехвата или выдачи себя за надежную интеграцию 1Password, такую ​​​​как расширение браузера 1Password или CLI [интерфейс командной строки]», что позволило бызлоумышленник «чтобы украсть предметы из хранилища».

Уязвимость обнаружила команда Robinhood Red. Он был исправлен в версии 8.10.36, и 1Password рекомендует пользователям обновиться до последней версии, чтобы защитить себя от этого вектора атаки.

Джеймсон Лопп, соучредитель поставщика биткоин-кошельков Casa, рассказал об этой проблеме своим последователям 8 августа, пытаясь повысить осведомленность. «Если вы используете 1Password на Mac, обновите его как можно скорее», — заявил Лопп.

Источник: Джеймсон Лопп

Согласно документам разработчиков Apple, версии MacOS 10.0 и выше содержат функцию «усиленной среды выполнения», которую разработчики могут дополнительно использовать для предотвращения определенных видов атак, включая «внедрение кода, перехват динамически связанной библиотеки Library (DLL) и вмешательство в пространство памяти процесса». В своем раскрытии 1Password заявил, что пытается использовать эту функцию, чтобы предотвратить «некоторые локальные атаки» против своих пользователей.

Однако, поскольку в более ранних версиях 1Password отсутствовали некоторые межпроцессные проверки, необходимые для работы этой функции, злоумышленник мог обойти усиленную защиту во время выполнения и провести локальные атаки. Потенциально это может позволить злоумышленнику получить «ключ разблокировки учетной записи и SRP-𝑥».

Согласно документам 1Password, «SRP-x» — это переменная, используемая как часть безопасной системы удаленных паролей программного обеспечения, которая является одним из фрагментов данных, необходимых для доступа к данным хранилища пользователя. Ключ разблокировки учетной записи или пароль учетной записи — это еще одна часть данных, необходимая для этой цели.

Ни исследователи Robinhood Red, ни команда 1Password не нашли никаких доказательств того, что уязвимость действительно использовалась злоумышленником. Для осуществления атаки разработчику вредоносного ПО необходимо было написать программу, специально предназначенную для 1Password для MacO, и им нужно было бы обманом заставить пользователя загрузить и запустить программу.

Последняя версия 1Password устранила уязвимость. Однако пользователям следует проверить свою версию 1Password, чтобы убедиться, что она не ранее 8.10.36.

Связанный: Полное руководство по управлению паролями для энтузиастов криптовалюты.

Хранение начальных слов или закрытых ключей в менеджере паролей может быть рискованным. В декабре 2022 года менеджер паролей LastPass сообщил, что его серверы были взломаны, а зашифрованные хранилища некоторых клиентов были украдены. В следующем месяце пользователь Биткоина подал иск против LastPass, утверждая, что в результате взлома было украдено более 53 000 долларов его Биткоин. Согласно иску, истец хранил свою начальную фразу Биткоин в хранилище LastPass, которое было украдено и расшифровано злоумышленником, что позволило злоумышленнику опустошить его учетную запись Биткоин.

Alexander Zhdanov

Автор и инвестор в криптовалюты, являюсь экспертом в этой области. Не только пишу статьи о криптовалютах и блокчейн технологиях, но и являюсь активным участником криптосообщества, занимающимся инвестированием в различные криптовалюты. Использую знания и опыт в написании статей, чтобы помочь читателям понять сложные аспекты криптоиндустрии и принимать обоснованные решения относительно инвестирования в криптовалюты. Делюсь личными опытами и инсайтами, полученными в ходе инвестиций, чтобы помочь другим инвесторам делать обоснованные выборы.

Недавние статьи

«Я отказался от рекомендаций EigenLayer» — Джастин Дрейк из ETH Foundation

После разногласий, разгоревшихся в мае 2024 года, исследователь Ethereum Foundation Джастин Дрейк объявил о своем…

4 часа ago

Эксперт-аналитик объясняет, почему цена биткоина упала с $73 000 до $69 000

Ноябрь начался с неожиданного спада на рынке криптовалют, поскольку Биткоин, который в последнюю неделю октября…

5 часов ago

Макрофакторы в Канаде и США благоприятны для цены Биткоина — генеральный директор WonderFi

Биткоин (BTC) недавно достиг рекордного максимума в более чем 100 000 канадских долларов. Дин Скурка,…

5 часов ago

Солана движется к коррекции перед отскоком – аналитик устанавливает цель в 180 долларов

Солана (SOL) торгуется вблизи критического уровня спроса на уровне 165 долларов после отката от недавних…

6 часов ago

Биткоин-ETF имеют решающее значение для поддержания текущего покупательского давления – подробности

По данным CoinMarketCap, цена Биткоина за последний месяц зафиксировала значительный скачок, увеличившись на 14,74%. Во…

8 часов ago

Чтобы этот бычий сигнал оставался верным, Ethereum должен оставаться выше $2480 – аналитик

На прошлой неделе Ethereum (ETH) продемонстрировал двухфазное рыночное движение, поднявшись более чем на 9% и…

11 часов ago