مدیر رمز عبور 1Password یک نقص در نسخه مک نرمافزار خود را که میتوانست به مهاجم اجازه دهد دادههای گاوصندوق را سرقت کند، برطرف کرده است. این آسیبپذیری تنها در صورتی قابل سوءاستفاده بود که مهاجم کاربر را فریب دهد تا بدافزار را نصب کند. برخی از کاربران ارزهای دیجیتال از 1Password برای ذخیره نسخههای پشتیبان از کلمات بازیابی کیف پول، کلیدهای خصوصی یا رمزهای عبور صرافی استفاده میکنند.
طبق افشاگری، این آسیبپذیری میتوانست به مهاجم اجازه دهد “از اعتبارسنجیهای داخلی macOS که به صورت خاص برای ارتباطات بینپردازشی مورد استفاده قرار میگیرند، سوءاستفاده کند تا یک یکپارچهسازی معتبر 1Password مانند افزونه مرورگر 1Password یا CLI را سرقت یا جعل کند” و به این ترتیب مهاجم میتوانست “اقلام گاوصندوق را استخراج کند.”
این آسیبپذیری توسط تیم Robinhood Red کشف شد. این نقص در نسخه 8.10.36 برطرف شده است و 1Password کاربران را تشویق میکند تا به آخرین نسخه بهروزرسانی کنند تا خود را از این مسیر حمله محافظت کنند.
طبق مستندات توسعهدهنده اپل، نسخههای 10.0 و بالاتر macOS دارای ویژگی “اجرای سختشده” هستند که توسعهدهندگان میتوانند به طور انتخابی از آن برای جلوگیری از انواع خاصی از حملات، از جمله “تزریق کد، سرقت کتابخانههای دینامیکی (DLL) و تغییر فضای حافظه فرآیند” استفاده کنند. 1Password در افشای خود بیان کرد که تلاش میکند از این ویژگی برای جلوگیری از “برخی حملات محلی” علیه کاربران خود استفاده کند.
با این حال، به دلیل اینکه نسخههای قبلی 1Password برخی از اعتبارسنجیهای بینپردازشی لازم برای عملکرد این ویژگی را نداشتند، مهاجم میتوانست از حفاظتهای اجرای سختشده عبور کند و حملات محلی انجام دهد. این امر میتوانست به مهاجم اجازه دهد “کلید بازگشایی حساب و ‘SRP-𝑥’” را استخراج کند.
طبق مستندات 1Password، “SRP-x” یک متغیر است که به عنوان بخشی از سیستم رمز عبور ایمن از راه دور نرمافزار استفاده میشود که یکی از قطعات دادهای مورد نیاز برای دسترسی به دادههای گاوصندوق کاربر است. کلید بازگشایی حساب یا رمز عبور حساب نیز قطعه دیگری از دادهها است که برای این منظور نیاز است.
نه محققان Robinhood Red و نه تیم 1Password هیچ شواهدی مبنی بر استفاده واقعی از این آسیبپذیری توسط مهاجم پیدا نکردند. برای انجام حمله، توسعهدهنده بدافزار نیاز داشت تا برنامهای خاص برای هدف قرار دادن 1Password برای macOS بنویسد و کاربر را فریب دهد تا برنامه را دانلود و اجرا کند.
نسخه جدید 1Password این آسیبپذیری را برطرف کرده است. با این حال، کاربران باید نسخه 1Password خود را بررسی کنند تا اطمینان حاصل کنند که نسخهای قبل از 8.10.36 نیست.
راهنمای کامل مدیریت رمز عبور برای علاقهمندان به ارزهای دیجیتال
ذخیره کلمات بازیابی یا کلیدهای خصوصی در یک مدیر رمز عبور میتواند خطرناک باشد. در دسامبر 2022، مدیر رمز عبور LastPass اعلام کرد که سرورهایش مورد نفوذ قرار گرفته و برخی از گاوصندوقهای رمزنگاری شده مشتریان دزدیده شده است. در ماه بعد، یک کاربر بیتکوین از LastPass شکایت کرد و مدعی شد که بیش از 53,000 دلار بیتکوین او به دلیل این نفوذ دزدیده شده است. طبق این شکایت، شاکی کلمه بازیابی بیتکوین خود را در یک گاوصندوق LastPass ذخیره کرده بود که توسط مهاجم دزدیده و رمزگشایی شده بود و به این ترتیب مهاجم توانست حساب بیتکوین او را خالی کند.
دیدگاهتان را بنویسید