1Password виправляє недолік у версії Mac, який міг створити вектор атаки

Менеджер паролів 1Password виправив недолік у версії свого програмного забезпечення для Mac, який міг дозволити зловмиснику викрасти дані сховища, згідно з повідомленням, зробленим 6 серпня. Уразливість можна було використати, лише якщо зловмисник обманом змусив користувача встановити шкідливе програмне забезпечення. Деякі користувачі криптовалюти покладаються на 1Password для зберігання резервних копій початкових слів гаманця, приватних ключів або обмінних паролів.

Згідно з розкриттям інформації, вразливість могла дозволити зловмиснику «зловживати відсутніми міжпроцесними перевірками macOS, щоб захопити або імітувати надійну інтеграцію 1Password, таку як розширення браузера 1Password або CLI [інтерфейс командного рядка]», що дозволило бзловмисник «для вилучення елементів зі сховища».

Уразливість виявила команда Robinhood Red. Він був виправлений у версії 8.10.36, і 1Password заохочує користувачів оновити до останньої версії, щоб захистити себе від цього вектора атак.

Джеймсон Лопп, співзасновник постачальника біткойн-гаманців Casa, розповів про проблему своїм підписникам 8 серпня, намагаючись підвищити обізнаність. «Якщо ви використовуєте 1Password на Mac, оновіть його якомога швидше», — заявив Лопп.

Згідно з документами розробників Apple, MacOS версії 10.0 і вище містять функцію «захищеного середовища виконання», яку розробники можуть додатково використовувати для запобігання певним видам атак, включаючи «впровадження коду, викрадення динамічно пов’язаної Library (DLL) і втручання в простір пам’яті процесу». У своєму розкритті 1Password заявив, що намагається використовувати цю функцію, щоб запобігти «можливості певних локальних атак» проти своїх користувачів.

Однак через те, що в попередніх версіях 1Password були відсутні деякі міжпроцесні перевірки, необхідні для роботи цієї функції, зловмисник міг обійти посилений захист часу виконання та здійснити локальні атаки. Це потенційно може дозволити зловмиснику викрасти «ключ розблокування облікового запису та SRP-𝑥».

Згідно з документами 1Password, «SRP-x» — це змінна, яка використовується як частина безпечної віддаленої системи паролів програмного забезпечення, яка є одним із фрагментів даних, необхідних для доступу до даних сховища користувача. Ключ розблокування облікового запису або пароль облікового запису є ще одним фрагментом даних, необхідних для цієї мети.

Ані дослідники Robinhood Red, ані команда 1Password не знайшли жодних доказів того, що вразливість дійсно використовувалася зловмисником. Щоб здійснити атаку, розробнику зловмисного програмного забезпечення потрібно було б написати програму, спеціально націлену на 1Password для MacO, і йому потрібно було б обманом змусити користувача завантажити та запустити програму.

Остання версія 1Password усунула вразливість. Однак користувачі повинні перевірити свою версію 1Password, щоб переконатися, що вона не раніша за 8.10.36.

За темою: найкращий посібник із керування паролями для ентузіастів криптовалюти

Зберігання початкових слів або закритих ключів у менеджері паролів може бути ризикованим. У грудні 2022 року менеджер паролів LastPass виявив, що його сервери були зламані, а зашифровані сховища деяких клієнтів були викрадені. Наступного місяця користувач біткойна подав позов проти LastPass, стверджуючи, що в результаті злому було вкрадено понад 53 000 доларів його біткойна. Відповідно до подання, позивач зберіг свою початкову фразу біткойн у сховищі LastPass, яке було вкрадено та розшифровано зловмисником, що дозволило зловмиснику злити його обліковий запис біткойн.