Update 1Password om diefstal van je crypto te voorkomen
1Password heeft een fout in de Mac-versie van zijn software opgelost die een aanvaller in staat had kunnen stellen om gegevens uit de kluis te stelen. Deze kwetsbaarheid, die op 6 augustus werd bekendgemaakt, kon alleen worden misbruikt als de aanvaller de gebruiker zover kreeg om malware te installeren. Sommige bitcoiners vertrouwen op 1Password om back-up kopieën van hun wallet seed words, private keys of exchange wachtwoorden op te slaan.
Ontdekking en herstel
De kwetsbaarheid werd ontdekt door het Robinhood Red team en werd verholpen in versie 8.10.36. 1Password moedigt gebruikers aan om hun software bij te werken naar de nieuwste versie om zichzelf te beschermen tegen deze aanvalsmogelijkheid. Volgens de onthulling maakte de kwetsbaarheid misbruik van ontbrekende macOS-specifieke inter-process validaties, waardoor een aanvaller de 1Password browserextensie of command line interface (CLI) kon kapen of imiteren, en zo kluisitems kon exfiltreren.
Jameson Lopp, mede-oprichter van Bitcoin wallet provider Casa, maakte de kwestie op 8 augustus bekend aan zijn volgers om het bewustzijn te vergroten. “Als je 1Password op Mac gebruikt, werk dan zo snel mogelijk bij,” stelde Lopp.
If you use 1Password on Mac, update ASAP. https://t.co/GjRd8myks8
— Jameson Lopp (@lopp) August 8, 2024
Technische achtergrond
Volgens Apple-ontwikkelaarsdocumenten bevatten macOS-versies 10.0 en hoger een “geharde runtime” functie die ontwikkelaars optioneel kunnen gebruiken om bepaalde soorten aanvallen te voorkomen, zoals code-injectie, DLL-kaping en manipulatie van procesgeheugenruimte. In zijn onthulling stelde 1Password dat het probeert deze functie te gebruiken om “bepaalde lokale aanvallen tegen zijn gebruikers onmogelijk te maken.”
Omdat eerdere versies van 1Password echter enkele van de inter-process validaties misten die nodig zijn om deze functie te laten werken, kon een aanvaller de geharde runtime-bescherming omzeilen en lokale aanvallen uitvoeren. Dit had een aanvaller in staat kunnen stellen om “de account ontgrendelsleutel en ‘SRP-‘” te exfiltreren.
Noch de onderzoekers van Robinhood Red, noch het team van 1Password hebben enig bewijs gevonden dat de kwetsbaarheid daadwerkelijk is gebruikt door een dief. Om een aanval uit te voeren, zou de malware-ontwikkelaar een programma moeten schrijven dat specifiek gericht is op 1Password voor macOS en de gebruiker moeten misleiden om het programma te downloaden en uit te voeren.
Conclusie en anbevelingen
De nieuwste versie van 1Password heeft de kwetsbaarheid geëlimineerd. Gebruikers wordt aangeraden hun versie van 1Password te controleren om er zeker van te zijn dat deze niet ouder is dan 8.10.36.
Het opslaan van seed words of private keys in een wachtwoordmanager kan risicovol zijn. In december 2022 onthulde wachtwoordmanager LastPass dat zijn servers waren gehackt en dat sommige versleutelde kluizen van klanten waren gestolen. De maand daarop diende een gebruiker een rechtszaak in tegen LastPass, waarin hij beweerde dat meer dan $53.000 aan Bitcoin was gestolen als gevolg van hun fout. Volgens de aanklacht had de eiser zijn Bitcoin seed phrase in een LastPass-kluis opgeslagen, die werd gestolen en ontsleuteld door de aanvaller, waardoor de aanvaller zijn Bitcoin-account kon leegmaken.
