A gestora de senhas 1Password corrigiu uma falha na versão Mac de seu software que poderia ter permitido a um atacante roubar dados de cofres, de acordo com uma divulgação feita em 6 de agosto. A vulnerabilidade só poderia ser explorada se o atacante enganasse o usuário para instalar malware. Alguns usuários de criptomoedas confiam no 1Password para armazenar cópias de backup de palavras-semente de carteiras, chaves privadas ou senhas de exchanges.
De acordo com a divulgação, a vulnerabilidade poderia ter permitido a um atacante “usar indevidamente validações específicas do macOS ausentes entre processos para sequestrar ou personificar uma integração confiável do 1Password, como a extensão do navegador 1Password ou CLI [interface de linha de comando],” o que teria permitido ao atacante “exfiltrar itens do cofre.”
A vulnerabilidade foi descoberta pela equipe Robinhood Red. Ela foi corrigida na versão 8.10.36, e o 1Password está incentivando os usuários a atualizar para a versão mais recente para se protegerem contra esse vetor de ataque.
Jameson Lopp, cofundador do provedor de carteira Bitcoin Casa, divulgou o problema para seus seguidores em 8 de agosto em uma tentativa de aumentar a conscientização:
De acordo com documentos de desenvolvedores da Apple, as versões 10.0 e superiores do MacOS contêm um recurso de “tempo de execução reforçado” que os desenvolvedores podem usar opcionalmente para evitar certos tipos de ataques, incluindo “injeção de código, sequestro de biblioteca dinâmica (DLL) e adulteração de espaço de memória de processos.” Em sua divulgação, a 1Password declarou que tenta usar esse recurso para impedir que “certos ataques locais sejam possíveis” contra seus usuários.
No entanto, como versões anteriores do 1Password careciam de algumas das validações entre processos necessárias para que esse recurso funcionasse, um atacante poderia contornar as proteções de tempo de execução reforçado e realizar ataques locais. Isso poderia permitir que um atacante exfiltrasse “a chave de desbloqueio da conta e ‘SRP-𝑥.’”
De acordo com documentos do 1Password, “SRP-x” é uma variável usada como parte do sistema de senha remota segura do software, que é um dos dados necessários para acessar os dados do cofre do usuário. A chave de desbloqueio da conta ou a senha da conta é outro dado necessário para esse propósito.
Nem os pesquisadores da Robinhood Red nem a equipe da 1Password encontraram evidências de que a vulnerabilidade tenha sido realmente usada por um atacante. Para que um ataque fosse executado, o desenvolvedor de malware precisaria escrever um programa especificamente direcionado à 1Password para MacOS, e eles precisariam enganar o usuário para que baixasse e executasse o programa.
A versão mais recente do 1Password eliminou a vulnerabilidade. No entanto, os usuários devem verificar a versão do 1Password que estão usando para garantir que não seja anterior à 8.10.36.
Armazenar palavras-semente ou chaves privadas em um gerenciador de senhas pode ser arriscado. Em dezembro de 2022, o gerenciador de senhas LastPass revelou que seus servidores foram violados e alguns cofres criptografados de clientes foram roubados.
No mês seguinte, um usuário de Bitcoin entrou com uma ação judicial contra o LastPass, alegando que mais de US$ 53.000 em Bitcoin (BTC) foram roubados como resultado da violação. De acordo com o processo, o autor havia armazenado sua frase-semente de Bitcoin dentro de um cofre do LastPass, que foi roubado e decifrado pelo atacante, permitindo que o atacante esvaziasse sua conta de Bitcoin.