V týchto dňoch si určite prečítate články o závažnej bezpečnostnej chybe v aplikácii 1Password, jednej z najlepších aplikácií, ktoré existujú pre iOS a OS X, a jednej z našich obľúbených položiek za dobrú prácu, ktorú s ňou vývojári robia, s neustálymi aktualizáciami bez akýchkoľvek nákladov. svojim užívateľom. Osobne práve v aplikácii dôverujem tomu, že si budem ukladať svoje heslá, bankové údaje, kreditné karty atď. Už roky mi veľmi záleží na tom, aby som sa informoval o tejto bezpečnostnej chybe, pretože ma to veľmi zaujímalo. Ako sa v týchto prípadoch často stáva, web zaplavuje strašidlo a senzáciachtivosť (Nezabúdajme, že práve to predáva najviac), preto sa pokúsim objasniť, čo sa stalo a aké to môže mať následky.
Problém
Všetko vychádza zo správy zverejnenej inžinierom spoločnosti Microsoft Dale Myers, v ktorej to uisťuje 1Password ukladá údaje nezašifrované do svojho šifrovacieho systému AgileKeychain. Tieto nezašifrované údaje sú konkrétne webové adresy tých stránok, ktoré sme uložili v tejto službe, a ich názvy, nikdy však nie naše samotné prístupové údaje, ktoré zostávajú dokonale šifrované. Prečo ponechať tieto údaje nezašifrované? V podstate preto, že ich šifrovanie v tom čase (hovoríme o roku 2008) spôsobilo niektorým zariadeniam problémy pri prístupe k týmto údajom a spôsobilo problémy s výkonom a batériou.
Doteraz si môže človek myslieť: „V čom je problém?“ Mnoho používateľov používa 1PasswordAnywhere, funkciu, ktorú Dropbox používa na ukladanie vašich kľúčov 1Password a umožňuje vám k nim pristupovať z ľubovoľného prehľadávača bez nainštalovania aplikácie do zariadenia. Práve v tom spočíva hlavný problém: Google indexuje tento obsah, keď je uložený v html súbore, a niekto, kto má potrebné znalosti, môže mať prístup k tomuto súboru a poznať tieto údaje bez šifrovania. Znova trvám na tom, nikdy vaše prístupové údaje, iba webové adresy a názvy webov, ktoré ste uložili v hesle 1Password, nikdy vaše poverenia.
Riešenie
Samotní vývojári 1Password už tento problém vyriešili už v roku 2012 novým spôsobom ukladania vašich údajov s názvom OPVault. Tento nový systém šifruje všetky dáta vrátane tých, ktoré neboli šifrované pomocou AgileKeychain. V čom je teda problém? Že sa museli rozhodnúť, či použijú OPVault ako jediný šifrovací systém, alebo budú naďalej používať ako alternatívu AgileKeychain. A rozhodli sa pre túto druhú možnosť.
Prečo udržiavať menej bezpečný systém? OPVault nepredstavoval problém pre používateľov iOS a Mac OS X, ale urobil to pre používateľov Windows, Android a tých, ktorí sa rozhodli pre Dropbox ako svoj systém synchronizácie údajov. Staršie verzie 1Password neboli kompatibilné s OPVaultom, takže sa museli rozhodnúť, čo robiť: tieto staré verzie nechajte za sebou alebo poskytujte kompatibilitu všetkým. A rozhodli sa pre túto druhú alternatívu, pričom si ponechali možnosť používať AgileKeychain.
Skutočná veľkosť problému
Najdôležitejšie je trvať na údajoch, ku ktorým má prístup niekto, kto by sa mohol dostať k danému html súboru a čítať vaše údaje, čo nie je ľahké: webové adresy a názvy webov. To je všetko. Áno, je pravda, že tieto údaje nemusí nikto poznať a je to chyba, ktorú treba opraviť, ale Nie je potrebné sa obávať vašich prístupových údajov k webovým stránkam alebo čísel svojich kreditných kariet, čo je úľava.
Len čo bude zrejmé, je tiež potrebné poukázať na to, kto má tento problém: kto stále používa AgileKeychain. Ani tí používatelia, ktorí už OPVault používajú, nemajú najmenší problém. Kto sú tí, ktorí používajú OPVault? Tí, ktorí používajú 1Password pre iOS a OS X s povolenou možnosťou synchronizácie iCloud (ako je to v mojom prípade). Ak je to aj váš prípad, potom s vami nie je problém. Ak ste používateľom 1Password v systéme Windows, Android alebo používate Dropbox ako synchronizačný systém, musíte prejsť na OPVault ako úložný systém, čo ste dokonale vysvetlili v Blog spoločnosti Agilebits, 1Vývojári hesiel (na konci článku).
Skvelý článok Luis, taká by mala byť prísna žurnalistika a ešte viac, čo sa týka bezpečnosti.