„AgileBits” pripažino, kad jos saugumas turi rimtą spragą.
Populiarios slaptažodžių tvarkyklės „1Password” kūrėja bendrovė „AgileBits” patvirtino, kad yra kritinė saugumo spraga, leidžianti įsilaužėliams gauti prieigą prie „MacOS” naudotojų paskyrų slaptažodžių saugyklos elementų ir atrakinimo raktų.
Pažeidžiamumas CVE-2024-42219 (CVSS balas: 7,0) leidžia kenkėjiškam procesui, veikiančiam įrenginyje vietoje, apeiti „macOS” tarpprocesinę apsaugą ir išvilioti „1Password” saugyklos elementus, taip pat gauti paskyros atrakinimo raktus ir SRP reikšmes, naudojamas prisijungti prie paslaugos. SRP (saugus nuotolinis slaptažodis) yra vienas iš saugumo lygių, suteikiančių prieigą prie „1Password” saugyklos.
Tačiau pernelyg nerimauti nereikėtų, nes SRP yra tik dalis 1Password daugiapakopės saugumo sistemos. Paslauga taip pat apima papildomą 128 bitų slaptąjį raktą, kuris sukuriamas naudotojo įrenginyje ir nėra žinomas niekam, įskaitant „AgileBits” darbuotojus.
Bendrovės „1Password” atstovas spaudai sakė, kad pažeidžiamumą aptiko „Robinhood Red Team” saugumo komanda, visiškai kontroliuodama naudotojo įrenginį. „AgileBits” ištaisė pažeidimą „1Password” 8.10.38 versijoje. Bendrovė padėkojo „Robinhood Red Team” už bendradarbiavimą ir pažadėjo paskelbti papildomos informacijos savo tinklaraštyje po komandos pranešimo DEFCON konferencijoje.
CVE-2024-42219 turi įtakos visiems aštuntosios „1Password for macOS” versijos naudotojams, dar neatnaujintiems iki 8.10.36 versijos. Norėdamas sėkmingai išnaudoti, užpuolikas turi įtikinti naudotoją paleisti kenkėjišką programą savo kompiuteryje.
Kompanija „AgileBits” patvirtino, kad, jos žiniomis, pažeidžiamumo neaptiko ir neišnaudojo niekas kitas, išskyrus „Robinhood Red Team” tyrėjus. Bent jau bendrovė kol kas negavo jokių pranešimų, įrodančių priešingai.
Visiems „1Password for macOS” naudotojams primygtinai rekomenduojama atnaujinti savo programas į naujausią versiją. Kaip minėta, pažeidžiamumas buvo ištaisytas 8.10.36 versijoje.
Laimei, „1Password” automatiškai tikrina, ar yra atnaujinimų, praėjus penkioms minutėms po paleidimo, ir tai daro kasdien. Jei programėlė atrakinta, naudotojai gaus pranešimą apie galimą atnaujinimą. Tačiau jei programėlė užrakinta, ji turėtų būti atnaujinama automatiškai.