Risolta una vulnerabilità in 1Password per Mac: aggiornare subito!

Nei giorni scorsi 1Password ha comunicato l'esistenza di una grave falla di sicurezza nel suo password manager per Mac che potrebbe permettere a malintenzionati di accedere alle chiavi di sblocco e alle credenziali degli utenti. L'azienda ha fornito dettagli precisi sulla vulnerabilità e sulle versioni dell'applicazione a rischio attraverso un post dedicato alla sicurezza.

Secondo quanto riportato, tutte le versioni di 1Password 8 per Mac antecedenti alla 8.10.36, rilasciata a luglio 2024, sono vulnerabili a questo tipo di attacco. La buona notizia è che la soluzione al problema è relativamente semplice: basta aggiornare l'applicazione 1Password alla versione 8.10.36, già disponibile per il download. 1Password 7 non è interessato dal problema.

Al momento, non ci sono prove che questa vulnerabilità sia stata sfruttata in contesti reali. La scoperta è avvenuta durante una valutazione di sicurezza indipendente dell'app condotta dal team Red Robinhood, che ha prontamente segnalato il problema a 1Password. Nonostante non ci siano evidenze di attacchi (l'assenza della prova non è automaticamente prova dell'assenza), 1Password raccomanda vivamente agli utenti che utilizzano ancora una versione vulnerabile di aggiornare immediatamente la propria app 1Password per Mac.

1Password spiega:

La vulnerabilità identificata in 1Password per Mac compromette le protezioni di sicurezza della piattaforma dell'app, permettendo a un processo malevolo in esecuzione localmente sulla macchina di aggirare le protezioni di comunicazione tra processi. Per sfruttare questa falla, un attaccante deve eseguire un software dannoso specificamente progettato per colpire 1Password per Mac sul computer obiettivo. L'aggressore può quindi abusare delle convalide tra processi mancanti specifiche di macOS per dirottare o impersonare un'integrazione 1Password affidabile, come l'estensione del browser 1Password o la CLI. Questo consentirebbe al software malevolo di estrarre gli elementi del vault e ottenere valori derivati utilizzati per accedere a 1Password, in particolare la chiave di sblocco dell'account e "SRP-x".

Per proteggere i propri dati da questa potenziale minaccia, gli utenti di 1Password per Mac sono fortemente incoraggiati a seguire il consiglio dell'azienda e aggiornare la propria applicazione alla versione 8.10.36 il prima possibile.