1Password 修补了 Mac 版本中可能产生攻击载体的漏洞

据 8 月 6 日披露的消息，密码管理器 1Password 修补了其 Mac 版软件中的一个漏洞，该漏洞可能允许攻击者窃取保险库数据。该漏洞只有在攻击者诱骗用户安装恶意软件的情况下才能被利用。一些加密货币用户依赖 1Password 来存储钱包种子字、私钥或交换密码的备份副本。

根据披露的信息，该漏洞可能会让攻击者 "滥用缺失的 macOS 特定进程间验证来劫持或假冒可信的 1Password 集成，如 1Password 浏览器扩展或 CLI [命令行界面]"，从而让攻击者 "流出保险库项目"。

该漏洞由 Robinhood Red 团队发现。1Password 鼓励用户升级到最新版本，以保护自己免受攻击。

比特币钱包提供商 Casa 的联合创始人詹姆森-洛普（Jameson Lopp）于 8 月 8 日向他的追随者披露了这一问题，试图提高人们的意识。"如果你在Mac上使用1Password，请尽快更新。

根据苹果开发者文档，MacOS 10.0及以上版本包含一个 "加固运行时 "功能，开发者可以选择使用该功能来防止某些类型的攻击，包括 "代码注入、动态链接库（DLL）劫持和进程内存空间篡改"。1Password 在其披露的信息中称，它试图使用该功能来防止针对其用户的 "某些本地攻击成为可能"。

然而，由于早期版本的 1Password 缺乏使该功能生效所需的一些进程间验证，攻击者可以绕过加固的运行时保护，实施本地攻击。这有可能让攻击者渗出 "账户解锁密钥和'SRP-𝑥'"。

根据 1Password 文档，"SRP-x "是作为软件安全远程密码系统一部分使用的变量，是访问用户保险库数据所需的数据之一。账户解锁密钥或账户密码是用于此目的的另一项数据。

Robinhood Red 研究人员和 1Password 团队都没有发现任何证据表明攻击者实际使用了该漏洞。要实施攻击，恶意软件开发者需要编写一个专门针对 MacOs 版 1Password 的程序，并诱骗用户下载和运行该程序。

最新版本的 1Password 已消除了该漏洞。不过，用户应检查自己的 1Password 版本，确保它不早于 8.10.36。

相关内容 密码爱好者密码管理终极指南

在密码管理器上存储种子字或私钥可能存在风险。2022 年 12 月，密码管理器 LastPass 披露其服务器遭到入侵，一些客户的加密金库被盗。在接下来的一个月里，一位比特币用户对LastPass提起诉讼，声称他的53,000多美元比特币因该漏洞而被盗。根据这份文件，原告将他的比特币种子短语存储在LastPass的保险库中，但被攻击者窃取并解密，从而使攻击者盗取了他的比特币账户。

杂志： 加密机器人是如何毁掉加密货币的--包括自动拉动memecoin地毯