Категории: Разное

1Password виправляє недолік у версії Mac, який міг створити вектор атаки

Менеджер паролів 1Password виправив недолік у версії свого програмного забезпечення для Mac, який міг дозволити зловмиснику викрасти дані сховища, згідно з повідомленням, зробленим 6 серпня. Уразливість можна було використати, лише якщо зловмисник обманом змусив користувача встановити шкідливе програмне забезпечення. Деякі користувачі криптовалюти покладаються на 1Password для зберігання резервних копій початкових слів гаманця, приватних ключів або обмінних паролів.

Згідно з розкриттям інформації, вразливість могла дозволити зловмиснику «зловживати відсутніми міжпроцесними перевірками macOS, щоб захопити або імітувати надійну інтеграцію 1Password, таку як розширення браузера 1Password або CLI [інтерфейс командного рядка]», що дозволило бзловмисник «для вилучення елементів зі сховища».

Уразливість виявила команда Robinhood Red. Він був виправлений у версії 8.10.36, і 1Password заохочує користувачів оновити до останньої версії, щоб захистити себе від цього вектора атак.

Джеймсон Лопп, співзасновник постачальника біткойн-гаманців Casa, розповів про проблему своїм підписникам 8 серпня, намагаючись підвищити обізнаність. «Якщо ви використовуєте 1Password на Mac, оновіть його якомога швидше», — заявив Лопп.

Джерело: Jameson Lopp

Згідно з документами розробників Apple, MacOS версії 10.0 і вище містять функцію «захищеного середовища виконання», яку розробники можуть додатково використовувати для запобігання певним видам атак, включаючи «впровадження коду, викрадення динамічно пов’язаної Library (DLL) і втручання в простір пам’яті процесу». У своєму розкритті 1Password заявив, що намагається використовувати цю функцію, щоб запобігти «можливості певних локальних атак» проти своїх користувачів.

Однак через те, що в попередніх версіях 1Password були відсутні деякі міжпроцесні перевірки, необхідні для роботи цієї функції, зловмисник міг обійти посилений захист часу виконання та здійснити локальні атаки. Це потенційно може дозволити зловмиснику викрасти «ключ розблокування облікового запису та SRP-𝑥».

Згідно з документами 1Password, «SRP-x» — це змінна, яка використовується як частина безпечної віддаленої системи паролів програмного забезпечення, яка є одним із фрагментів даних, необхідних для доступу до даних сховища користувача. Ключ розблокування облікового запису або пароль облікового запису є ще одним фрагментом даних, необхідних для цієї мети.

Ані дослідники Robinhood Red, ані команда 1Password не знайшли жодних доказів того, що вразливість дійсно використовувалася зловмисником. Щоб здійснити атаку, розробнику зловмисного програмного забезпечення потрібно було б написати програму, спеціально націлену на 1Password для MacO, і йому потрібно було б обманом змусити користувача завантажити та запустити програму.

Остання версія 1Password усунула вразливість. Однак користувачі повинні перевірити свою версію 1Password, щоб переконатися, що вона не раніша за 8.10.36.

За темою: найкращий посібник із керування паролями для ентузіастів криптовалюти

Зберігання початкових слів або закритих ключів у менеджері паролів може бути ризикованим. У грудні 2022 року менеджер паролів LastPass виявив, що його сервери були зламані, а зашифровані сховища деяких клієнтів були викрадені. Наступного місяця користувач біткойна подав позов проти LastPass, стверджуючи, що в результаті злому було вкрадено понад 53 000 доларів його біткойна. Відповідно до подання, позивач зберіг свою початкову фразу біткойн у сховищі LastPass, яке було вкрадено та розшифровано зловмисником, що дозволило зловмиснику злити його обліковий запис біткойн.

Victoria Lyapota

Недавние статьи

Сінгапур розвиває токенізацію активів за допомогою нових фреймворків MAS

Грошово-кредитне управління Сінгапуру (MAS) оголосило про багатопланові зусилля з просування комерціалізації токенізації активів. Щоб досягти…

4 години ago

EigenLayer підсилює повторні ставки завдяки дохідності біткойнів і виплатам P2P. org

Згідно з окремими оголошеннями 4 листопада, EigenLayer, найбільша платформа повторних ставок Ethereum, додає більше варіантів…

4 години ago

Пакистан регулює криптовалюту, CBDC як законний платіжний засіб

Державний банк Пакистану (SBP) 4 листопада оголосив про пакет політичних пропозицій, які, якщо їх прийняти,…

4 години ago

Співвідношення ризику та винагороди Ethereum «занадто добре, щоб його пропустити» – провідний аналітик встановлює ціль у 6000 доларів США

Ethereum торгується на критичному рівні попиту після відкату на 11% від останніх локальних максимумів. Це…

4 години ago

Мічиганський пенсійний фонд зберігає інвестиції в біткойн ETF, додає Ether ETF

Згідно з заявою Комісії з цінних паперів і бірж США (SEC), Пенсійна система штату Мічиган…

4 години ago

Super PAC, що підтримується криптовалютою, повідомляє про залучення 78 мільйонів доларів США для середньострокових заходів у 2026 році

Оскільки виборчі дільниці на виборах у Сполучених Штатах Америки 2024 року закриваються менш ніж за…

5 години ago