Fallo inesperado en la seguridad de 1Password: ¿qué deben hacer los usuarios de macOS?

Fallo inesperado en la seguridad de 1Password: ¿qué deben hacer los usuarios de macOS?

AgileBits ha reconocido una brecha significativa en su seguridad.

image

La empresa AgileBits, desarrolladora del popular gestor de contraseñas 1Password, ha confirmado una vulnerabilidad crítica de seguridad que permite a los atacantes acceder a elementos del almacén de contraseñas y a las claves de desbloqueo de las cuentas de usuarios de macOS.

La vulnerabilidad CVE-2024-42219 (con una puntuación CVSS de 7.0) permite a un proceso malicioso, ejecutado localmente en el dispositivo, evadir la protección interprocesos de macOS y exfiltrar elementos del almacén de 1Password, así como obtener la clave de desbloqueo de la cuenta y los valores SRP utilizados para iniciar sesión en el servicio. SRP (Secure Remote Password) es uno de los niveles de protección que aseguran el acceso al almacén de 1Password.

Sin embargo, no hay que preocuparse demasiado, ya que SRP es solo una parte del sistema de seguridad multinivel de 1Password. El servicio también incluye una clave secreta adicional de 128 bits, que se crea en el dispositivo del usuario y no es conocida por nadie, ni siquiera por los empleados de AgileBits.

Un representante de 1Password señaló que la vulnerabilidad fue descubierta por el equipo de seguridad Robinhood Red Team bajo condiciones de control total sobre el dispositivo del usuario. AgileBits ha corregido la brecha en la versión 1Password 8.10.38. La compañía agradeció a Robinhood Red Team por su colaboración y prometió publicar más detalles en su blog después de la presentación del equipo en la conferencia DEFCON.

CVE-2024-42219 afecta a todos los usuarios de la octava versión de 1Password para macOS que aún no se han actualizado a la versión 8.10.36. Para explotar con éxito la vulnerabilidad, el atacante debe convencer al usuario de ejecutar software malicioso en su computadora.

AgileBits confirmó que, hasta donde saben, la vulnerabilidad no ha sido descubierta ni explotada por nadie más, aparte de los investigadores de Robinhood Red Team. Al menos, la compañía no ha recibido informes que demuestren lo contrario.

Se recomienda encarecidamente a todos los usuarios de 1Password para macOS que actualicen sus aplicaciones a la última versión. Como se mencionó anteriormente, la vulnerabilidad fue corregida en la versión 8.10.36.

Afortunadamente, 1Password verifica automáticamente la disponibilidad de actualizaciones cinco minutos después del inicio y lo hace diariamente. Si la aplicación está desbloqueada, los usuarios recibirán una notificación sobre la actualización disponible. Si la aplicación está bloqueada, debería actualizarse automáticamente.

¿Tu Wi-Fi doméstico es una fortaleza o una casa de cartón?

Descubre cómo construir una muralla impenetrable