1Password dicht lek dat gegevensdiefstal mogelijk maakte
1Password meldt in een blogpost dat aanvallers via het lek (CVE-2024-42219) toegang konden krijgen tot gegevens in de wachtwoordkluis. Het gaat niet alleen om wachtwoorden, maar ook om andere opgeslagen gegevens zoals beveiligde notities. Aanvallers moesten hiervoor de “beveiliging voor communicatie tussen processen omzeilen”, meldt de wachtwoordmanager. Specifiek betreft het de beveiligde communicatie tussen de browserextensies en de desktopapp van 1Password.
Die beveiliging bleek in dit geval tekort te schieten. Aanvallers konden zich door het lek in de Mac-app voordoen als een webbrowser en op die manier gevoelige gegevens buitmaken. Om de aanval te laten slagen, moest de aanvaller al wel lokale toegang hebben tot de pc én kwaadwillende software draaien die gericht is op de Mac-app.
Om die reden kreeg de kwetsbaarheid in de Mac-app van 1Password een score van slechts 6,3 op 10 (Medium). Volgens de wachtwoordmanager is de aanval lastig hierdoor uit te voeren, vooral als de 1Password-app is versleuteld. Is de wachtwoordkluis ontgrendeld, dan vereist de aanval geen interactie van de eindgebruiker. Er zijn verder geen risico’s voor andere apps op macOS-systemen, benadrukt de ontwikkelaar.
Aanpassingen aan XPC
1Password laat in zijn blogpost in het midden hoe het lek is opgelost. Bekend is dat het iets te maken heeft met de XPC-interface, die de communicatie tussen processen beschermt. Het is in elk geval goed nieuws dat er een oplossing is. 1Password zegt dat deze beschikbaar is vanaf versie 8.10.36 (en nieuwer) van 1Password 8 voor Mac.
De kwetsbaarheid werd tijdens DEF CON 2024 door Robinhood, samen met nog vijf andere lekken, aan 1Password overgedragen. Er zijn geen gevallen bekend waarin de kwetsbaarheid is misbruikt.