Firma stojąca za aplikacją do przechowywania haseł 1Password ujawniła w tej chwili załataną krytyczną lukę w zabezpieczeniach swojego oprogramowania, która mogła dać atakującym dostęp do kluczy odblokowujących i danych uwierzytelniających użytkowników.
W poście dotyczącym bezpieczeństwa, 1Password ujawniło dokładne szczegóły luki i które wersje aplikacji są podatne na ataki.
Według firmy, wszystkie wersje 1Password dla komputerów Mac przed wersją 8.10.36 są podatne na exploit. Na szczęście problem można stosunkowo łatwo rozwiązać, aktualizując aplikację 1Password do wersji 8.10.36, która została już udostępniona.
Problem został wykryty podczas niezależnej oceny bezpieczeństwa aplikacji przez zespół Red Robinhood, po czym został zgłoszony do 1Password.
1Password wyjaśniło również szczegółowo, jak działa exploit:
Zidentyfikowano błąd w 1Password for Mac, który wpływa na zabezpieczenia platformy aplikacji. Błąd ten umożliwia złośliwemu procesowi działającemu lokalnie na komputerze ominięcie zabezpieczeń komunikacji międzyprocesowej.
Aby wykorzystać ten błąd, atakujący musi uruchomić złośliwe oprogramowanie na komputerze, którego celem jest aplikacja 1Password for Mac. Atakujący jest w stanie niewłaściwie wykorzystać brakujące walidacje międzyprocesowe specyficzne dla macOS, aby przejąć lub podszyć się pod zaufaną integrację 1Password, taką jak rozszerzenie przeglądarki 1Password lub CLI. Pozwoliłoby to złośliwemu oprogramowaniu na eksfiltrację elementów skarbca, a także uzyskanie wartości pochodnych używanych do logowania się do 1Password, w szczególności klucza odblokowania konta i „SRP-x”.
Informacje te sprawiają, iż jeszcze bardziej czekam na finalną wersję systemu macOS Sequoia, która ma przynieść ze sobą własną aplikację do przechowywania haseł: Passwords App.
Źródło: appleinsider
