مدیر رمز عبور ۱Password یک نقص در نسخه مک نرمافزار خود را که میتوانست به مهاجم اجازه دهد دادههای گاوصندوق را سرقت کند، برطرف کرده است. این آسیبپذیری تنها در صورتی قابل سوءاستفاده بود که مهاجم کاربر را فریب دهد تا بدافزار را نصب کند. برخی از کاربران ارزهای دیجیتال از ۱Password برای ذخیره نسخههای پشتیبان از کلمات بازیابی کیف پول، کلیدهای خصوصی یا رمزهای عبور صرافی استفاده میکنند.
طبق افشاگری، این آسیبپذیری میتوانست به مهاجم اجازه دهد “از اعتبارسنجیهای داخلی macOS که به صورت خاص برای ارتباطات بینپردازشی مورد استفاده قرار میگیرند، سوءاستفاده کند تا یک یکپارچهسازی معتبر ۱Password مانند افزونه مرورگر ۱Password یا CLI را سرقت یا جعل کند” و به این ترتیب مهاجم میتوانست “اقلام گاوصندوق را استخراج کند.”
این آسیبپذیری توسط تیم Robinhood Red کشف شد. این نقص در نسخه ۸.۱۰.۳۶ برطرف شده است و ۱Password کاربران را تشویق میکند تا به آخرین نسخه بهروزرسانی کنند تا خود را از این مسیر حمله محافظت کنند.
طبق مستندات توسعهدهنده اپل، نسخههای ۱۰.۰ و بالاتر macOS دارای ویژگی “اجرای سختشده” هستند که توسعهدهندگان میتوانند به طور انتخابی از آن برای جلوگیری از انواع خاصی از حملات، از جمله “تزریق کد، سرقت کتابخانههای دینامیکی (DLL) و تغییر فضای حافظه فرآیند” استفاده کنند. ۱Password در افشای خود بیان کرد که تلاش میکند از این ویژگی برای جلوگیری از “برخی حملات محلی” علیه کاربران خود استفاده کند.
با این حال، به دلیل اینکه نسخههای قبلی ۱Password برخی از اعتبارسنجیهای بینپردازشی لازم برای عملکرد این ویژگی را نداشتند، مهاجم میتوانست از حفاظتهای اجرای سختشده عبور کند و حملات محلی انجام دهد. این امر میتوانست به مهاجم اجازه دهد “کلید بازگشایی حساب و ‘SRP-𝑥’” را استخراج کند.
طبق مستندات ۱Password، “SRP-x” یک متغیر است که به عنوان بخشی از سیستم رمز عبور ایمن از راه دور نرمافزار استفاده میشود که یکی از قطعات دادهای مورد نیاز برای دسترسی به دادههای گاوصندوق کاربر است. کلید بازگشایی حساب یا رمز عبور حساب نیز قطعه دیگری از دادهها است که برای این منظور نیاز است.
نه محققان Robinhood Red و نه تیم ۱Password هیچ شواهدی مبنی بر استفاده واقعی از این آسیبپذیری توسط مهاجم پیدا نکردند. برای انجام حمله، توسعهدهنده بدافزار نیاز داشت تا برنامهای خاص برای هدف قرار دادن ۱Password برای macOS بنویسد و کاربر را فریب دهد تا برنامه را دانلود و اجرا کند.
نسخه جدید ۱Password این آسیبپذیری را برطرف کرده است. با این حال، کاربران باید نسخه ۱Password خود را بررسی کنند تا اطمینان حاصل کنند که نسخهای قبل از ۸.۱۰.۳۶ نیست.
راهنمای کامل مدیریت رمز عبور برای علاقهمندان به ارزهای دیجیتال
ذخیره کلمات بازیابی یا کلیدهای خصوصی در یک مدیر رمز عبور میتواند خطرناک باشد. در دسامبر ۲۰۲۲، مدیر رمز عبور LastPass اعلام کرد که سرورهایش مورد نفوذ قرار گرفته و برخی از گاوصندوقهای رمزنگاری شده مشتریان دزدیده شده است. در ماه بعد، یک کاربر بیتکوین از LastPass شکایت کرد و مدعی شد که بیش از ۵۳,۰۰۰ دلار بیتکوین او به دلیل این نفوذ دزدیده شده است. طبق این شکایت، شاکی کلمه بازیابی بیتکوین خود را در یک گاوصندوق LastPass ذخیره کرده بود که توسط مهاجم دزدیده و رمزگشایی شده بود و به این ترتیب مهاجم توانست حساب بیتکوین او را خالی کند.
