1Password змінює формат файлів для підвищення рівня безпеки

image

Менеджер файлів 1Password заявив про зміну формату файлів, в яких зберігається інформація користувачів. Ці дії компанія вирішила зробити у відповідь на пост Дейла Майерса, працівника Microsfoft, виявив уразливість в поточному форматі. Так, Майерс вивчив файл .agilekeychain, залишений 1Password, і виявив, що метадані не зашифровані, а зберігаються практично у відкритому вигляді, plain text. А оскільки 1Password — досить популярний менеджер паролів, то дані багатьох сотень тисяч користувачів можуть бути скомпрометовані.

Якщо хто-небудь отримує доступ до відповідного файлу, то ця людина без проблем може отримати інформацію про сайти, на яких ви нещодавно логін. Є також можливість отримати дані про банківський акаунті користувача, і дізнатися, якого роду ліцензії на ПЗ були придбані. Вся ця інформація дозволяє звернутися в банк від імені користувача, плюс зловмисник може скинути всі паролі. Плюс до всього, Google індексує keychain-и користувачів, забезпечують простий доступ до різних сайтів.

.agilekeychain — це директорія, де знаходиться файл 1password.html. Всі дані користувача зберігаються у файлі 1Password.agilekeychain/data/default/contents.js.

У свою чергу, в компанії Agilebits стверджують, що знайдений співробітником Microsoft баг насправді «не баг, а фіча». Так, розробники передбачили можливість зберігання даних в незашифрованому вигляді, оскільки в цьому випадку підвищується продуктивність програми. Цікаво, що формат .agilekeychain використовується розробниками з 2008 року — тоді гаджети і були дещо простіше, ніж зараз, тому для забезпечення продуктивності своєї програми не на самому сильному залозі розробники вирішили залишити дані у відкритому вигляді.

З тих пір був представлений новий формат, OPVault, який був опціональним. Після публікації працівника Microsoft, компанія вирішила замінити .agilekeychain на OPVault, залишивши останній за замовчуванням. Якщо ви працюєте з цим менеджером пароля, то перейти зі старого формату файлів на новий можна наступним чином:



Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.