El gestor de contraseñas 1Password corrigió una falla en la versión para Mac de su software que podría haber permitido a un atacante robar datos del almacén, según una divulgación realizada el 6 de agosto. La vulnerabilidad solo podía ser explotada si el atacante engañaba al usuario para que instalara malware. Algunos usuarios de criptomonedas confían en 1Password para almacenar copias de seguridad de palabras clave de billetera, claves privadas o contraseñas de exchanges.
Según la divulgación, la vulnerabilidad podría haber permitido a un atacante “abusar de la falta de validaciones inter-procesos específicas de macOS para secuestrar o suplantar una integración confiable de 1Password, como la extensión del navegador de 1Password o la CLI [interfaz de línea de comandos]”, lo que habría permitido al atacante “exfiltrar elementos del almacén”.
La vulnerabilidad fue descubierta por el equipo Robinhood Red. Se corrigió en la versión 8.10.36, y 1Password está animando a los usuarios a actualizarse a la última versión para protegerse de este vector de ataque.
Jameson Lopp, cofundador del proveedor de billeteras de Bitcoin Casa, divulgó el problema a sus seguidores el 8 de agosto en un intento de aumentar la conciencia:
Según documentos de desarrolladores de Apple, las versiones 10.0 y superiores de MacOS contienen una función de “runtime fortalecido” que los desarrolladores pueden usar opcionalmente para prevenir ciertos tipos de ataques, incluidos “inyección de código, secuestro de bibliotecas de enlace dinámico (DLL) y manipulación del espacio de memoria del proceso”. En su divulgación, 1Password declaró que intenta usar esta función para prevenir que “ciertos ataques locales sean posibles” contra sus usuarios.
Sin embargo, debido a que las versiones anteriores de 1Password carecían de algunas de las validaciones inter-procesos requeridas para que esta función funcionara, un atacante podría eludir las protecciones de runtime fortalecido y llevar a cabo ataques locales. Esto podría permitir potencialmente a un atacante exfiltrar “la clave de desbloqueo de la cuenta y el ‘SRP-𝑥.’”
Según documentos de 1Password, “SRP-x” es una variable utilizada como parte del sistema seguro de contraseñas remotas del software, que es una de las piezas de datos necesarias para acceder a los datos del almacén del usuario. La clave de desbloqueo de la cuenta o la contraseña de la cuenta son otras piezas de datos necesarias para este propósito.
Ni los investigadores de Robinhood Red ni el equipo de 1Password encontraron evidencia de que la vulnerabilidad haya sido realmente utilizada por un atacante. Para que se ejecutara un ataque, el desarrollador del malware habría necesitado escribir un programa específicamente dirigido a 1Password para MacOS, y habría necesitado engañar al usuario para que descargara y ejecutara el programa.
La última versión de 1Password ha eliminado la vulnerabilidad. Sin embargo, los usuarios deben verificar la versión de 1Password que están utilizando para asegurarse de que no sea anterior a la 8.10.36.
Almacenar palabras clave o claves privadas en un gestor de contraseñas puede ser riesgoso. En diciembre de 2022, el gestor de contraseñas LastPass reveló que sus servidores habían sido vulnerados y algunas bóvedas cifradas de clientes habían sido robadas. Al mes siguiente, un usuario de Bitcoin presentó una demanda contra LastPass, alegando que más de $53,000 en Bitcoin (BTC) habían sido robados como resultado de la brecha. Según la demanda, el demandante había almacenado su frase de recuperación de Bitcoin dentro de una bóveda de LastPass, la cual fue robada y descifrada por el atacante, permitiendo que el atacante vaciara su cuenta de Bitcoin.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.