Позавчера сотрудник Microsoft Дэйл Майерс (Dale Myers) обнаружил, что популярный менеджер паролей 1Password хранит метаданные пользователей в незашифрованном виде, и доступ к ним может получить едва ли не любой желающий. Так как проблема заключалась не в конкретной уязвимости, а в самой архитектуре программы, способов борьбы с багом насчитывалось немного. Однако разработчики 1Password решили прислушаться к обоснованной критике.
Напомню, что проблема заключается в том, что 1Password может использовать различные форматы хранения данных. В частности, формат Agile Keychain, который удобно использовать в связке с функцией 1PasswordAnywhere, хранит пользовательские данные в виде JavaScript-файлов. Так как никакому шифрованию файлы не подвергаются, ознакомиться с метаданными пользователя 1Password крайне легко. Однако, начиная с 2012 года, компания AgileBits также использует и формат OPVault, который защищен куда лучше.
Однако OPVault не предлагался пользователям в качестве формата по умолчанию. Более того, об опасностях использования Agile Keychain компания AgileBits тоже не предупреждала.
Теперь ситуация изменилась. В блоге AgileBits появилась запись, созданная по следам публикации Майерса. Представители компании пояснили, что не хотели принуждать пользователей к жесткой и ультимативной миграции на OPVault, когда формат был впервые представлен в 2012 году. Теперь Майерс напомнил разработчикам о том, что «нужно двигаться дальше».
В новых версиях менеджера паролей OPVault станет форматом по умолчанию, и компания также готовит глобальную миграцию для всех пользователей 1Password. Те, кто не хочет ждать и желает перейти на новый формат хранения уже сегодня, могут сделать это самостоятельно, AgileBits опубликовала подробные инструкции:
- Для пользователей Windows
- Для пользователей Mac OS X
- Для пользователей Android
- Для пользователей iOS.
Фото: imore
