1Password guarda datos sin cifrar
Guardar las contraseñas por medio de una app que las recuerde puede ser una buena idea cuando son muy difíciles. Asumimos que usarán métodos cifrados para no poner en riesgo los datos que pasan por la misma. El ingeniero Dale Myers descubrió que ese no es el caso de 1Password.
Dentro de esta app, se encuentra la función 1Password Anywhere, que permite acceder a los datos sin necesidad del programa original. De forma inicial usaba una “llave Agile” que guardaba la información en archivos JavaScript, los cuales son descriptados cuando se incorpora la contraseña maestra. La empresa después lanzó un cliente para ver los datos basado en este formato así como en HTML pero ahora está usando OPVault.
El problema está en que al navegar en el disco usando tal llave, se encuentra que es un directorio, dentro del cual aparece el archivo “1Password.html“. Al accederse por medio de HTTP, se entra a una página gris con una imagen bloqueada y un campo para meter una contraseña que se abre con la llave del usuario y de esta forma se pueden ver los datos. Esto significa que los metadatos no están encriptados.
El problema de seguridad fue descubierto después de que el usuario tuvo un problema de sincronización con DropBox, lugar donde almacena la llave maestra y así encontró que todos sus datos almacenados se presentaban como un archivo de texto. Esto significa que cualquier persona que conozca el enlace de la página de inicio puede alterarlo y obtener acceso a todos los archivos.
El peor problema radica en que la ubicación del usuario también se almacena allá, por lo que cualquier persona podría acceder y pegar el enlace en su navegador para tener acceso a la cuenta; además Google podría indexar parte de la información. Con esos datos, fácilmente se podría identificar al titular de la cuenta y conocer su dirección para luego publicar todos sus datos personales.
AgileBits está consciente de esta fallo y ya se encuentran arreglándolo para que la actualización llegue primero a Windows, luego a Mac, iOS y finalmente a Android, siendo la migración automática. La empresa aclaró que las contraseñas nunca están expuestas o compartidas ya que se encuentran encriptadas por la “Contraseña Maestra”, la cual no aparece en la llave.
Con información del Blog de Dale Myers