1Password, einer der derzeit besten Passwortmanager, hat Mac-Benutzer aufgefordert, einen Patch für ihren Anmeldeinformationsspeicher herunterzuladen, nachdem ein Fehler entdeckt wurde, der es Angreifern ermöglicht, Tresore zu knacken.
Mit 1Password können Benutzer innerhalb der App Kennwort-Tresore erstellen, um beispielsweise ihre Anmeldeinformationen für Arbeit und Privatleben zu trennen.
Aber diese Schwachstelle, die als CVE-2024-42219 mit einem CVSS von 7.0 verfolgt wird, könnte von Angreifern ausgenutzt werden, um ganze Tresore mit Passwörtern von macOS-Benutzern zu stehlen, die 1Password Version 8.10.36 ausführen.
Den Tresor knacken
Der Fehler wurde von Sicherheitsteams von Robinhood entdeckt, die beschlossen, die 1Password-App auf Schwachstellen zu testen. Konkret beschreibt die National Vulnerability Database den Fehler so, dass er „lokalen Angreifern das Exfiltrieren von Tresorelementen ermöglicht, da die XPC-Validierung der Interprozesskommunikation unzureichend ist.“
In einer Warnung erklärte das Unternehmen: „Um das Problem auszunutzen, muss ein Angreifer auf einem Computer Schadsoftware ausführen, die speziell auf 1Password für Mac abzielt. Ein Angreifer kann fehlende macOS-spezifische Interprozessvalidierungen missbrauchen, um eine vertrauenswürdige 1Password-Integration wie die 1Password-Browsererweiterung oder CLI zu kapern oder zu imitieren.“
„Auf diese Weise könnte die Schadsoftware Tresorelemente exfiltrieren und abgeleitete Werte erlangen, die zur Anmeldung bei 1Password verwendet werden, insbesondere den Konto-Entsperrschlüssel und „SRP-𝑥“.“
Die einzige Möglichkeit, diese Schwachstelle auszunutzen, besteht für einen Angreifer darin, die Benutzer dazu zu verleiten, ein maßgeschneidertes Programm auf dem Zielcomputer zu installieren. Bisher gibt es jedoch keine Hinweise darauf, dass dies in der Praxis bereits geschehen ist.
1Password gibt an, dass rund 150.000 Unternehmen 1Password zum Speichern wichtiger Anmeldeinformationen verwenden. Es ist jedoch unklar, wie viele davon macOS-Geräte verwenden. Windows-Benutzer sind von dieser Sicherheitslücke nicht betroffen.
