V těchto dnech si určitě přečtete články o vážné bezpečnostní chybě v 1Password, jedné z nejlepších aplikací, které existují pro iOS a OS X a jedné z našich oblíbených pro dobrou práci, kterou s ní její vývojáři dělají, s neustálými aktualizacemi bez nákladů svým uživatelům. Osobně se domnívám, že v aplikaci ukládám svá hesla, bankovní údaje, kreditní karty atd. už roky a tolik mi na tom záleží informovat se o této bezpečnostní chybě, protože mě to velmi zajímalo. V těchto případech se často stává, že web zaplaví strašidlo a senzacechtivost (Nezapomínejme, že právě to prodává nejvíce), proto se pokusím objasnit, co se stalo a jaké to může mít důsledky.
Problém
Vše je založeno na zprávě vydané inženýrem Microsoftu Dale Myersem, ve které to zajišťuje 1Password ukládá data nezašifrovaná do svého šifrovacího systému AgileKeychain. Tyto nešifrované údaje jsou konkrétně webové adresy těch stránek, které jsme uložili v této službě, a jejich názvy, ale nikdy nejsou to naše samotná přístupová data, která zůstávají dokonale šifrovaná. Proč ponechat tato data nezašifrovaná? V zásadě proto, že jejich šifrování v té době (mluvíme o roce 2008) způsobilo některým zařízením problémy při přístupu k těmto datům a způsobilo problémy s výkonem a baterií.
Zatím si člověk může myslet: „V čem je problém?“ Mnoho uživatelů používá 1PasswordAnywhere, funkci, kterou Dropbox používá k ukládání vašich klíčů 1Password a umožňuje vám k nim přistupovat z libovolného prohlížeče, aniž by byla aplikace nainstalována v zařízení. Právě v tom spočívá hlavní problém: Google indexuje tento obsah, když je uložen v html souboru, a někdo s potřebnými znalostmi může mít přístup k tomuto souboru a znát tato data bez šifrování. Znovu trvám na tom, nikdy vaše přístupová data, pouze webové adresy a názvy webů, které jste uložili v 1Password, nikdy vaše přihlašovací údaje.
Řešení
Samotní vývojáři 1Password již tento problém vyřešili již v roce 2012 novým způsobem ukládání vašich dat s názvem OPVault. Tento nový systém šifruje všechna data, včetně těch, která nebyla šifrována pomocí AgileKeychain. V čem je tedy problém? Že se museli rozhodnout, zda použít OPVault jako jediný šifrovací systém, nebo pokračovat v používání AgileKeychain jako alternativy. A rozhodli se pro tuto druhou možnost.
Proč udržovat méně bezpečný systém? OPVault nepředstavoval problém pro uživatele iOS a Mac OS X, ale udělal to pro Windows, uživatele Android a ty, kteří se rozhodli pro Dropbox jako svůj systém synchronizace dat. Starší verze 1Password nebyly kompatibilní s OPVault, takže se musely rozhodnout, co dělat: tyto staré verze nechte za sebou nebo všem poskytujte kompatibilitu. A rozhodli se pro tuto druhou alternativu, přičemž si ponechali možnost používat AgileKeychain.
Skutečná velikost problému
Nejdůležitější věcí je trvat na datech, ke kterým by měl přístup někdo, kdo by se mohl dostat k tomuto html souboru a číst vaše data (což není snadné): webové adresy a názvy webů. To je vše. Ano, je pravda, že nikdo nemusí znát tato data a že je to chyba, kterou je třeba opravit, ale Není třeba se bát vašich přístupových údajů na webové stránky nebo čísel kreditních karet, což je úleva.
Jakmile to bude jasné, je také nutné poukázat na to, kdo jsou ti, kteří mají tento problém: ti, kteří stále používají AgileKeychain. Ani ti uživatelé, kteří již OPVault používají, nemají nejmenší problém. Kdo jsou ti, kteří používají OPVault? Ti, kteří používají 1Password pro iOS a OS X s povolenou možností synchronizace iCloud (jako je můj případ). Pokud je to i váš případ, pak s vámi není problém. Pokud jste uživatelem 1Password ve Windows, Androidu nebo používáte Dropbox jako synchronizační systém, musíte přejít na OPVault jako úložný systém, což jste dokonale vysvětlili v Blog společnosti Agilebits, 1Vývojáři hesel (na konci článku).
Skvělý článek Luisi, tak by měla být přísná žurnalistika a ještě více, pokud jde o bezpečnost.