Un grave bug di sicurezza è stato scoperto nel software 1Password per Mac, mettendo potenzialmente a rischio le credenziali e le chiavi di sblocco degli account degli utenti. La vulnerabilità, rivelata dalla stessa 1Password, riguarda le versioni precedenti alla 8.10.36 rilasciata a luglio 2023.
Il problema consente a un processo malevolo in esecuzione localmente su un Mac di bypassare le protezioni di comunicazione inter-processo dell'app. Ciò potrebbe permettere a un malintenzionato di ottenere l'accesso ai dati sensibili memorizzati nei vault di 1Password, incluse le credenziali e la chiave di sblocco dell'account.
Fortunatamente, 1Password ha dichiarato che non ci sono segnalazioni di sfruttamento attivo della vulnerabilità. La scoperta è avvenuta grazie a un'analisi di sicurezza indipendente condotta dal Red Team di Robinhood.
Come proteggere 1Password per Mac
Per risolvere il problema, gli utenti devono aggiornare 1Password alla versione 8.10.36 o successiva. È fondamentale verificare la versione installata e procedere all'aggiornamento il prima possibile per garantire la sicurezza dei propri dati.
La vulnerabilità consente a un attaccante di sfruttare la mancanza di validazioni inter-processo specifiche di macOS per dirottare o impersonare un'integrazione affidabile di 1Password, come l'estensione del browser o la CLI. In questo modo, un software malevolo potrebbe potenzialmente estrarre elementi del vault e ottenere valori derivati utilizzati per accedere a 1Password.
1Password ha sottolineato l'importanza di mantenere sempre aggiornato il software per garantire la massima protezione dei dati sensibili degli utenti. L'azienda continua a monitorare attentamente la situazione e a lavorare per migliorare costantemente la sicurezza dei suoi prodotti.