1Passwordを開発しているAgileBitsが「XARA」脆弱性(ゼロデイ攻撃)と1Passwordが受ける影響について同社のブログに記事を投稿しています。詳細は以下から。

1Password-mini-and-Chrome-Extensions

 昨日公開されたOS XとiOSのKeychainの脆弱性を利用したXARA攻撃はインディアナ大学の研究チームによってレポートにまとめられており、この中でWebSocketを用いたXARAはKeychainだけではなく1PasswordやEvernoteなどにも影響があると記載されていますが、

Example-of-XARA-Consequences
[Unauthorized Cross-App Resource Access on MAC OS X and iOS(PDF)]

 これについて1Passwordを開発しているAgileBitsのJeffrey Goldbergさん(@jpgoldberg)が「我々は2014年の11月からXARAについてXingさんと議論を重ねており、彼らのチームは我々にどの様な攻撃が可能かを提示てくれた」とXARAと1Passwordが受ける影響についての詳細をまとめています。

A recent paper, “Unauthorized Cross-App Resource Access on MAC OS X and iOS” (PDF), by Luyi Xing (Li) and his colleagues shows just how difficult securing such communication can be. Since November 2014, we’ve been engaged in discussion with Li about what, if anything, we can do about such attacks. He and his team have been excellent at providing us with details and information upfront.
[1Password inter-process communication: a discussion - Agile Blog]

1PasswordにとってのXARA

 Xingさんらの研究チームは「1Passwordのブラウザ拡張機能と"1Password mini"が(WebSocket経由で)パスワードのやりとり行う際に悪意のあるアプリがこれをキャプチャ出来る」として以下のデモ動画を提示してくれたそうです。

The threat is that a malicious Mac app can pretend to be 1Password mini as far as the 1Password browser extension is concerned if it gets the timing right. In these cases, the malicious app can collect Login details sent from the 1Password browser extension to the fake 1Password mini. The researchers have demonstrated that it is possible to install a malicious app that might be able to put itself in a position to capture passwords sent from the browser to 1Password.
[1Password inter-process communication: a discussion - Agile Blog]

 これについてAgileBitsは「この攻撃は1Password miniとブラウザ拡張機能で使ったパスワードだけが傍受され、1Passwordの全てのデータにアクセスする事は出来ていないことに注意して下さい」としながらも、現状で出来る防護策として以下の2つの対策を勧めています。

Note that their attack does not gain full access to your 1Password data but only to those passwords being sent from the browser to 1Password mini. In this sense, it is getting the same sort of information that a malicious browser extension might get if you weren’t using 1Password.
[1Password inter-process communication: a discussion - Agile Blog]

対策

 対策その1は、公開されたデモ動画の悪意のあるアプリは"1Password mini"とブラウザ拡張機能の通信を傍受する前に、純正の"1Password mini"を起動する必要があるため、1Passwordの設定から「1Password miniを常に実行し続ける」を有効にしておくというもの。

1Passwrd-Settings

 2つ目はXingさんらの研究チームは悪意のあるアプリをAppleのMac App Storeのレビューに出し、Appleはこのアプリを害のないものとしてApp Storeに公開してしまいましたが、それでもAgileBitsではシステム環境設定の[セキュリティ と プライバシー] > [アプリケーションの実行許可]で「Mac App Storeからのアプリケーションのみを許可」にしておくことで少しでもこの脅威を減らせるとコメントしています。

Macのアプリケーションの実行許可

 AgileBitsのブログ記事では1Password for iOSでの影響やApp Storeの審査プロセスの改善についても言及しているので、興味がある方は関連リンクからどうぞ。


関連リンク:
Yubico FIDO U2F準拠 セキュリティキー 並行輸入品
Yubico FIDO U2F準拠 セキュリティキー 並行輸入品 [エレクトロニクス]
Yubico

共有する
フォローする


トラックバックURL:http://trackback.blogsys.jp/livedoor/applechinfo/45217378
タグ :
1Password
MacAppStore
Chrome
AgileBits
Apple
セキュリティ
XARA
AppStore
iTunesAppStore
YouTube