Популярный менеджер паролей 1Password хранит данные в открытом виде

image

Теги: шифрование, пароль, уязвимость

Метаданные пользователей не шифруются и хранятся в открытом текстовом формате.

Как выяснил инженер компании Microsoft Дэйл Майерс (Dale Myers), популярный менеджер паролей 1Password хранит данные пользователей в открытом виде, не подвергая их шифрованию. Проблема связана с функцией синхронизации 1PasswordAnywhere, позволяющей пользоваться сервисом на любом устройстве. 1PasswordAnywhere использует для хранения данных формат AgileKeychain, представляющий собой архив из незашифрованных JavaScript-файлов.

Формат .agilekeychain представляет собой директорию, в которой, в том числе, находится файл 1password.html. Открыв его в обычном web-браузере, пользователь должен будет ввести пароль, после чего keychain разблокируется, предоставив доступ к информации. Проблема состоит в отсутствии шифрования метаданных – все данные пользователя хранятся в открытом виде в файле 1Password.agilekeychain/data/default/contents.js.

Как выяснилось, разработчики специально спроектировали 1Password таким образом, чтобы метаданные хранились в незашифрованном виде. Благодаря этому удается якобы повысить производительность программы, уменьшив необходимое для шифрования данных время. Разработчики не видят в этом никакой проблемы и не собираются выпускать исправление для 1Password.

Единственным способом защитить данные пользователя является переход на формат OPVault. Разработчики 1Password сменили формат хранения данных еще в 2012 году, но в качестве формата по умолчанию программа до сих пор рекомендует использовать Agile Keychain.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.