Η 1Password αλλάζει τον τύπο δεδομένων για περισσότερη ασφάλεια
Η 1Password αποφάσισε να αλλάξει τύπο αρχείου έπειτα από σχετική δημοσίευση του Dale Myers, software engineer της Microsoft, ο οποίος ανέφερε τα πιθανά κενά ασφαλείας του τωρινού τύπου.
Συγκεκριμένα, ο Myers εξέτασε το δικό του αρχείο .agilekeychain της λειτουργίας 1PasswordAnywhere και συνειδητοποίησε ότι τα μεταδεδομένα δεν είναι κρυπτογραφημένα. Αυτό συνεπάγεται ότι οι ιστοσελίδες στις οποίες έχει πρόσβαση ο χρήστης με την εν λόγω λειτουργία καθώς και η τοποθεσία πρόσβασης αποθηκεύονται σε ένα απλό κείμενο. Όσον αφορά το 1PasswordAnywhere, πρόκειται για μια λειτουργία η οποία δίνει πρόσβαση στους αποθηκευμένους κωδικούς του χρήστη, χωρίς να απαιτεί εγκατάσταση της εφαρμογής.
Ο Myers εξήγησε ότι εάν κάποιος αποκτούσε πρόσβαση στο αρχείο αυτό, θα γνώριζε σε ποιες ιστοσελίδες έχει πραγματοποιήσει είσοδο ο χρήστης, θα έβρισκε τους τραπεζικούς του λογαριασμούς καθώς και ποιο license της εφαρμογής έχει αγοράσει.
Μάλιστα, θα μπορούσε ακόμη και να κάνει επαναφορά των κωδικών του χρήστη. Επιπλέον, η Google καταχωρεί τα keychains των χρηστών για διευκόλυνση της πρόσβασης. Με βάση λοιπόν μονάχα αυτά τα keychains, ο Myers κατάφερε να εντοπίσει τη δουλειά και την οικογενειακή κατάσταση ενός χρήστη. Η λειτουργία password anywhere αποθηκεύει δεδομένα αυτόματα χρησιμοποιώντας τον παλιότερο τύπο Agile Keychain της εταιρίας. Ως απάντηση σε αυτό, η ίδια η εταιρία δήλωσε ότι ο τύπος αυτός ξεκίνησε να χρησιμοποιείται το 2008 με την εκκίνηση του προγράμματος, σε μια εποχή που οι συσκευές λειτουργούσαν με πολύ πιο απλό τρόπο. Για λόγους επιδόσεων λοιπόν, αποφάσισαν να μην κρυπτογραφήσουν τα μεταδεδομένα.
Μάλιστα, θα μπορούσε ακόμη και να κάνει επαναφορά των κωδικών του χρήστη. Επιπλέον, η Google καταχωρεί τα keychains των χρηστών για διευκόλυνση της πρόσβασης. Με βάση λοιπόν μονάχα αυτά τα keychains, ο Myers κατάφερε να εντοπίσει τη δουλειά και την οικογενειακή κατάσταση ενός χρήστη. Η λειτουργία password anywhere αποθηκεύει δεδομένα αυτόματα χρησιμοποιώντας τον παλιότερο τύπο Agile Keychain της εταιρίας. Ως απάντηση σε αυτό, η ίδια η εταιρία δήλωσε ότι ο τύπος αυτός ξεκίνησε να χρησιμοποιείται το 2008 με την εκκίνηση του προγράμματος, σε μια εποχή που οι συσκευές λειτουργούσαν με πολύ πιο απλό τρόπο. Για λόγους επιδόσεων λοιπόν, αποφάσισαν να μην κρυπτογραφήσουν τα μεταδεδομένα.
Δεν υπάρχουν σχόλια