Менеджер паролей 1Password исправил уязвимость в версии своего программного обеспечения для Mac, которая могла позволить злоумышленнику украсть данные хранилища, согласно раскрытию, сделанному 6 августа.
Уязвимость могла быть использована только в том случае, если злоумышленник обманом заставил пользователя установить вредоносное ПО. Некоторые пользователи криптовалюты используют 1Password для хранения резервных копий начальных слов кошелька, закрытых ключей или обмена паролями.
Согласно раскрытию, уязвимость могла позволить злоумышленнику «злоупотребить отсутствием специфических для macOS межпроцессных проверок, чтобы захватить или выдать себя за доверенную интеграцию 1Password, такую как расширение браузера 1Password или CLI [интерфейс командной строки]», что позволило бы злоумышленнику «извлечь элементы хранилища».
Уязвимость была обнаружена командой Robinhood Red. Уязвимость была исправлена в версии 8.10.36, в связи с чем 1Password призывает пользователей обновиться до последней версии, чтобы защитить себя от этого вектора атак.
Джеймсон Лопп, соучредитель поставщика биткойн-кошельков Casa, раскрыл проблему своим подписчикам 8 августа в попытке повысить осведомленность.
«Если вы используете 1Password для Mac, обновитесь как можно скорее», – посоветовал он на X.
Источник: Джеймсон Лопп.
Согласно документам разработчиков Apple, версии MacOS 10.0 и выше содержат функцию «усиленной среды выполнения», которую разработчики могут опционально использовать для предотвращения определенных видов атак, включая «внедрение кода, захват динамически подключаемой библиотеки (DLL) и подделку пространства памяти процесса». В своем раскрытии 1Password заявил, что пытается использовать эту функцию для предотвращения «возможных определенных локальных атак» против своих пользователей.
Однако, поскольку в более ранних версиях 1Password отсутствовали некоторые межпроцессные проверки, необходимые для работы этой функции, злоумышленник мог обойти усиленную защиту среды выполнения и провести локальные атаки. Это потенциально может позволить злоумышленнику выкрасть «ключ разблокировки учетной записи и «SRP-x».
Согласно документам 1Password, «SRP-x» — это переменная, используемая как часть защищенной удаленной системы паролей программного обеспечения, которая является одним из фрагментов данных, необходимых для доступа к данным хранилища пользователя. Ключ разблокировки учетной записи или пароль учетной записи — это еще один фрагмент данных, необходимый для этой цели.
Ни исследователи Robinhood Red, ни команда 1Password не нашли никаких доказательств того, что уязвимость действительно использовалась злоумышленником. Для выполнения атаки разработчику вредоносного ПО потребовалось бы написать программу, специально нацеленную на 1Password для MacOS, и ему потребовалось бы обманом заставить пользователя загрузить и запустить программу.
В последней версии 1Password уязвимость устранена. Однако пользователи должны проверить свою версию 1Password, чтобы убедиться, что она не ниже 8.10.36.
Хранение начальных слов или закрытых ключей в менеджере паролей может быть рискованным. В декабре 2022 года менеджер паролей LastPass сообщил, что его серверы были взломаны, а зашифрованные хранилища некоторых клиентов были украдены.
В следующем месяце пользователь Bitcoin подал иск против LastPass, заявив, что в результате взлома у него украли более 53 000 долларов США в биткоине. Согласно иску, истец хранил свою начальную фразу в хранилище LastPass, которое было украдено и расшифровано злоумышленником, что позволило злоумышленнику слить его учетную запись Bitcoin.