Paroļu pārvaldnieks 1Password aizlāpa tās programmatūras Mac versijas trūkumu, kas varēja ļaut uzbrucējam nozagt glabātuves datus, saskaņā ar 6. augustā publicēto informāciju. Ievainojamību varēja izmantot tikai tad, ja uzbrucējs piemānīja lietotāju instalēt ļaunprātīgu programmatūru. Daži kriptovalūtu lietotāji paļaujas uz 1Password, lai saglabātu maka sākuma vārdu, privāto atslēgu rezerves kopijas vai apmainītos ar parolēm.
Saskaņā ar atklāto informāciju, ievainojamība varēja ļaut uzbrucējam “ļaunprātīgi izmantot trūkstošās MacOS specifiskās starpprocesu validācijas, lai nolaupītu vai uzdoties par uzticamu 1Password integrāciju, piemēram, 1Password pārlūkprogrammas paplašinājumu vai CLI [komandrindas interfeiss]”, kas būtu ļāvis uzbrucējs "lai izfiltrētu glabātuves priekšmetus".
Ievainojamību atklāja Robinhood Red komanda. Tas tika labots versijā 8.10.36, un 1Password mudina lietotājus veikt jaunināšanu uz jaunāko versiju, lai pasargātu sevi no šī uzbrukuma vektora.
Džeimsons Lops, Bitcoin maku nodrošinātāja Casa līdzdibinātājs, 8. augustā atklāja šo problēmu saviem sekotājiem, cenšoties palielināt izpratni. "Ja izmantojat 1Password operētājsistēmā Mac, atjauniniet pēc iespējas ātrāk," norādīja Lops.
Saskaņā ar Apple izstrādātāju dokumentiem MacOS versijās 10.0 un jaunākās versijās ir iekļauta “sacietināta izpildlaika” funkcija, ko izstrādātāji var pēc izvēles izmantot, lai novērstu noteikta veida uzbrukumus, tostarp “koda ievadīšanu, dinamiski saistītās bibliotēkas (DLL) nolaupīšanu un procesa atmiņas vietas iejaukšanos”. Savā atklātībā 1Password norādīja, ka tā mēģina izmantot šo funkciju, lai novērstu “noteiktu vietējo uzbrukumu iespējamību” pret saviem lietotājiem.
Tomēr, tā kā iepriekšējām 1Password versijām trūka dažu starpprocesu validāciju, kas nepieciešamas, lai šī funkcija darbotos, uzbrucējs varēja apiet pastiprināto izpildlaika aizsardzību un veikt lokālus uzbrukumus. Tas varētu ļaut uzbrucējam izfiltrēt “konta atbloķēšanas atslēgu un SRP-𝑥”.
Saskaņā ar 1Password dokumentiem "SRP-x" ir mainīgais, kas tiek izmantots kā daļa no programmatūras drošās attālās paroļu sistēmas, kas ir viens no datiem, kas nepieciešami, lai piekļūtu lietotāja glabātuves datiem. Konta atbloķēšanas atslēga vai konta parole ir vēl viens šim nolūkam nepieciešamais datu elements.
Ne Robinhood Red pētnieki, ne 1Password komanda neatrada nekādus pierādījumus, ka ievainojamību patiešām izmantoja uzbrucējs. Lai uzbrukums tiktu izpildīts, ļaunprogrammatūras izstrādātājam būtu bijis jāraksta programma, kas īpaši paredzēta 1Password for MacO, un viņam būtu bijis jāmānās lietotājs lejupielādēt un palaist programmu.
Jaunākā 1Password versija ir novērsusi ievainojamību. Tomēr lietotājiem ir jāpārbauda sava 1Password versija, lai pārliecinātos, ka tā nav agrāka par 8.10.36.
Saistīts: galvenais paroļu pārvaldības ceļvedis kriptogrāfijas entuziastiem
Sākotnējo vārdu vai privāto atslēgu glabāšana paroļu pārvaldniekā var būt riskanta. 2022. gada decembrī paroļu pārvaldnieks LastPass atklāja, ka tā serveri ir uzlauzti un dažu klientu šifrētās glabātuves ir nozagtas. Nākamajā mēnesī kāds Bitcoin lietotājs iesniedza prasību tiesā pret LastPass, apgalvojot, ka pārkāpuma rezultātā no viņa Bitcoin tika nozagti vairāk nekā 53 000 $. Saskaņā ar iesniegumu prasītājs bija glabājis savu Bitcoin sēklu frāzi LastPass glabātuvē, kuru uzbrucējs nozaga un atšifrēja, ļaujot uzbrucējam iztukšot savu Bitcoin kontu.
Žurnāls: kā šifrēšanas roboti sabojā kriptovalūtu, tostarp automātisko memecoin paklāju vilkšanu