Nieuws

1Password dicht lek dat gegevensdiefstal mogelijk maakte

1Password 8 op Android en iOS
© 1Password
Wachtwoordmanager 1Password heeft een lek gedicht in zijn macOS-app waardoor aanvallers gegevens konden buitmaken. Inmiddels is er een update beschikbaar voor de 1Password 8 voor Mac-app die het lek oplost.

1Password meldt in een blogpost dat aanvallers via het lek (CVE-2024-42219) toegang konden krijgen tot gegevens in de wachtwoordkluis. Het gaat niet alleen om wachtwoorden, maar ook om andere opgeslagen gegevens zoals beveiligde notities. Aanvallers moesten hiervoor de “beveiliging voor communicatie tussen processen omzeilen”, meldt de wachtwoordmanager. Specifiek betreft het de beveiligde communicatie tussen de browserextensies en de desktopapp van 1Password.

Die beveiliging bleek in dit geval tekort te schieten. Aanvallers konden zich door het lek in de Mac-app voordoen als een webbrowser en op die manier gevoelige gegevens buitmaken. Om de aanval te laten slagen, moest de aanvaller al wel lokale toegang hebben tot de pc én kwaadwillende software draaien die gericht is op de Mac-app.

Om die reden kreeg de kwetsbaarheid in de Mac-app van 1Password een score van slechts 6,3 op 10 (Medium). Volgens de wachtwoordmanager is de aanval lastig hierdoor uit te voeren, vooral als de 1Password-app is versleuteld. Is de wachtwoordkluis ontgrendeld, dan vereist de aanval geen interactie van de eindgebruiker. Er zijn verder geen risico’s voor andere apps op macOS-systemen, benadrukt de ontwikkelaar.

Uitgelicht artikel 1Password 1Password ondersteunt passkeys in Android

Aanpassingen aan XPC

1Password laat in zijn blogpost in het midden hoe het lek is opgelost. Bekend is dat het iets te maken heeft met de XPC-interface, die de communicatie tussen processen beschermt. Het is in elk geval goed nieuws dat er een oplossing is. 1Password zegt dat deze beschikbaar is vanaf versie 8.10.36 (en nieuwer) van 1Password 8 voor Mac.

De kwetsbaarheid werd tijdens DEF CON 2024 door Robinhood, samen met nog vijf andere lekken, aan 1Password overgedragen. Er zijn geen gevallen bekend waarin de kwetsbaarheid is misbruikt.

1passwordBeveiligingmacmacos

Gerelateerde artikelen

Volg ons

€350 korting op de Tenways CGO600

€350 korting op de Tenways CGO600

Bekijk de CGO600