Категории: Разное

1Password виправляє недолік у версії Mac, який міг створити вектор атаки

Менеджер паролів 1Password виправив недолік у версії свого програмного забезпечення для Mac, який міг дозволити зловмиснику викрасти дані сховища, згідно з повідомленням, зробленим 6 серпня. Уразливість можна було використати, лише якщо зловмисник обманом змусив користувача встановити шкідливе програмне забезпечення. Деякі користувачі криптовалюти покладаються на 1Password для зберігання резервних копій початкових слів гаманця, приватних ключів або обмінних паролів.

Згідно з розкриттям інформації, вразливість могла дозволити зловмиснику «зловживати відсутніми міжпроцесними перевірками macOS, щоб захопити або імітувати надійну інтеграцію 1Password, таку як розширення браузера 1Password або CLI [інтерфейс командного рядка]», що дозволило бзловмисник «для вилучення елементів зі сховища».

Уразливість виявила команда Robinhood Red. Він був виправлений у версії 8.10.36, і 1Password заохочує користувачів оновити до останньої версії, щоб захистити себе від цього вектора атак.

Джеймсон Лопп, співзасновник постачальника біткойн-гаманців Casa, розповів про проблему своїм підписникам 8 серпня, намагаючись підвищити обізнаність. «Якщо ви використовуєте 1Password на Mac, оновіть його якомога швидше», — заявив Лопп.

Джерело: Jameson Lopp

Згідно з документами розробників Apple, MacOS версії 10.0 і вище містять функцію «захищеного середовища виконання», яку розробники можуть додатково використовувати для запобігання певним видам атак, включаючи «впровадження коду, викрадення динамічно пов’язаної Library (DLL) і втручання в простір пам’яті процесу». У своєму розкритті 1Password заявив, що намагається використовувати цю функцію, щоб запобігти «можливості певних локальних атак» проти своїх користувачів.

Однак через те, що в попередніх версіях 1Password були відсутні деякі міжпроцесні перевірки, необхідні для роботи цієї функції, зловмисник міг обійти посилений захист часу виконання та здійснити локальні атаки. Це потенційно може дозволити зловмиснику викрасти «ключ розблокування облікового запису та SRP-𝑥».

Згідно з документами 1Password, «SRP-x» — це змінна, яка використовується як частина безпечної віддаленої системи паролів програмного забезпечення, яка є одним із фрагментів даних, необхідних для доступу до даних сховища користувача. Ключ розблокування облікового запису або пароль облікового запису є ще одним фрагментом даних, необхідних для цієї мети.

Ані дослідники Robinhood Red, ані команда 1Password не знайшли жодних доказів того, що вразливість дійсно використовувалася зловмисником. Щоб здійснити атаку, розробнику зловмисного програмного забезпечення потрібно було б написати програму, спеціально націлену на 1Password для MacO, і йому потрібно було б обманом змусити користувача завантажити та запустити програму.

Остання версія 1Password усунула вразливість. Однак користувачі повинні перевірити свою версію 1Password, щоб переконатися, що вона не раніша за 8.10.36.

За темою: найкращий посібник із керування паролями для ентузіастів криптовалюти

Зберігання початкових слів або закритих ключів у менеджері паролів може бути ризикованим. У грудні 2022 року менеджер паролів LastPass виявив, що його сервери були зламані, а зашифровані сховища деяких клієнтів були викрадені. Наступного місяця користувач біткойна подав позов проти LastPass, стверджуючи, що в результаті злому було вкрадено понад 53 000 доларів його біткойна. Відповідно до подання, позивач зберіг свою початкову фразу біткойн у сховищі LastPass, яке було вкрадено та розшифровано зловмисником, що дозволило зловмиснику злити його обліковий запис біткойн.

Victoria Lyapota

Недавние статьи

Dogecoin: зростання хешрейту відповідає зростанню пошукового інтересу

Dogecoin (DOGE) знову в центрі уваги, привертаючи увагу ентузіастів і аналітиків криптовалюти. Останні тенденції свідчать…

4 години ago

Ціна на біткойн відповідає моделі 2017 року, чи досягне вершини лише через 2 тижні після досягнення 100 000 доларів?

Ціна біткойна на шляху до досягнення позначки в 100 000 доларів США, за багатьма прогнозами,…

5 години ago

Звіт CFTC схвалює токенізацію торгової застави

Згідно зі звітом Консультативного комітету з глобальних ринків CFTC від 21 листопада, Комісія з торгівлі…

5 години ago

Sui розвивається завдяки великому досвіду розробників — генеральний директор Router

За останні місяці екосистема блокчейну Sui зазнала значного зростання, а його рідний токен Sui (SUI)…

5 години ago

Потенційний голова Комітету з цінних паперів і цінних паперів обіцяє підхід до криптофорварду після відставки Генслера

Марк Уєда, республіканський уповноважений Комісії з цінних паперів і бірж США (SEC), припустив, що він…

5 години ago

Південнокорейська Delio оголосила банкрутом із втратою активів на 1,75 мільярда доларів

22 листопада суд у Сеулі визнав південнокорейську платформу депозитів віртуальних активів Delio банкрутом, згідно з…

5 години ago