1Password für macOS: Software hatte ein Sicherheitsproblem
von Olli | 18 Kommentare
1Password ist ein beliebtes Tool zur Passwortverwaltung und hat sich über die Jahre als zuverlässig erwiesen. Bei der Entwicklung von Software kann es jedoch passieren, dass Fehler eingebaut werden, die unerkannt bleiben. In einem auf Sicherheit bezogenen Post gibt das Unternehmen bekannt, dass die Mac-Version von 1Password mit einer Schwachstelle ausgestattet war (CVE-2024-42219).
Eben jene würde es theoretisch ermöglichen, auf dem Mac selbst einen Prozess laufen zu lassen, der die Kommunikation zwischen Prozessen aushebelt und Zugriff auf die Browser-Extension oder CLI von 1Password erhält. Damit hätte er Zugriff auf die Daten des Anwenders. Wie zuvor erwähnt: Voraussetzung dafür ist, dass ein Angreifer lokal eine Schadsoftware installiert. Es gibt keine Berichte von Nutzern, dass Schaden entstanden ist. Das Red Team von Robinhood hatte den Fehler an 1Password gemeldet.
Es wird daher empfohlen, mindestens Version 8.10.36 auf eurem Mac zu nutzen. Versionen davor besitzen den Fehler noch. Solltet ihr das Update noch nicht gemacht haben, holt das zügig nach.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Für mich unbegreiflich, wie man die sensibelsten Daten die man hat, in einer Cloud bzw. auf einem Server abspeichert. Sowas hält man lokal-gespeichert auf/am eigenen Rechner – dementsprechend nur „KeePass“.
Hauptsache Bullshit schreiben. Theoretisch hätte es auch bei deinem Keypass Wallet passieren können…
Das kannst du so sehen, aber hat mit dieser Meldung bzw. Schwachstelle wenig zu tun. Ist es soweit gekommen dass bei dir jemand lokal Schadsoftware installiert hat bringt dir das alles nix mehr.
@Tim. Richtig, ist möglich. Aber dennoch halte ich mit einer lokalen Offline-Methode die Risiken geringer als mit einer Cloud-Lösung.
Wie synchronisierst Du dann die Daten zwischen Deinen Geräten, wenn Du nur lokal speicherst?
Ich habe da noch keine brauchbare Lösung gefunden und wäre über einen Tipp dankbar.
Die bei uns seit Jahren laufende Lösung sieht so aus, dass ein NAS (Synology) die Hauptrolle spielt.
* KeePass-Datei liegt bei jedem Nutzer lokal in den Benutzerdateien
* Benutzerdateien (home) werden via Synology-Drive a) zwischen verschiedenen Geräten synchron gehalten und b) dank entsprechender Option versioniert gesichert
* funktioniert auch zu mobilen Geräten
* die via Synology Drive synchronisierten Benutzerdaten sind natürlich auch enstprechend mehrfach gesichert (Backups nach 3-2-1-Regel)
* NAS ist nicht von außen erreichbar, hat eine interne Domain inkl. Zertifikat (SSL/HTTPS)
* mobile Geräte kommen aus unsicheren Netzwerken automatisch via VPN ins eigene Netzwerk
Unterm Strich läuft das reibungslos und erfüllt unsere Anforderungen wunderbar. Und das beste daran ist, dass keine Abhängigkeit nach außen (Anbieter Cloud, Anbieter PW-Manager, Preiserhöhungen/Abos/Angst vor Hacking des Anbieters) besteht – die Angriffsfläche ist minimiert. 100% sicher ist nichts, aber das ist der hier seit Jahren super laufende Kompromiss für unsere (!) Anforderungen.
Falls es eine KeePass-Datei zerlegen sollte, was bei uns seit >10 Jahren genau 0x vorkam – gäbe es dank Synology Drive vorherige Versionen zum Zurücksetzen. Falls auch das scheitern sollte, gäbe es tägliche Backups. Falls das NAS ausfallen sollte, gäbe es a) lokale Kopien auf allen Geräten dank Synology Drive und b) vollständige Backups, die getestet wiederherstellbar sind.
Das ist hier auf Windows, Linux und Android im Einsatz. Den Nachteil, dass mich das NAS Strom kostet, gestehe ich ein. Dafür sind es unsere Daten unter unserer Kontrolle – so gut es geht.
Was machst du, wenn du im Urlaub dein Handy verlierst?
Was machst du, wenn deine Bude abbrennt?
Hat mit dem Synchronisieren, um das es hier ging, zwar nichts zu tun, aber gerne:
1. Dank PIN mit >8 Stellen und der Möglichkeit, es aus der Ferne aus zu löschen, ist das ärgerlich, aber sonst nichts. Tablet und weitere Geräte haben ja weiterhin Zugriff, wenn nötig. Und wenn nicht, dann wartet alles bis zur Rückkehr nach Hause.
2. Wie gesagt: 3-2-1-Regel.
Das ist richtig, dass es damit nichts zu tun hat. Aber wenn du so ein Konzept hast, dann geht es ja durchaus über die reine Synchronisation hinaus.
Das beste Konzept nützt nichts, wenn man nicht zumindest mal den Ernstfall durchgespielt oder bedacht hat.
Wenn du warten kannst, bis du daheim bist, um wieder auf Passwörter zuzugreifen (falls z.B. auch das Tablet verloren geht oder sogar gestohlen wird), dann ist das durchaus ok. Ich könnte es nicht und habe mich dafür mit 3 verschiedenen Passwortmanagern und unterschiedlichen Zugriffsmöglichkeiten abgesichert.
Die 3-2-1 Regel ist sehr sinnvoll, nur wäre mir persönlich das Offsite Backup zu anstrengend. Mein Offsite Backup ist AWS, pCloud, Dropbox und OneDrive
Syncthing
Jetzt mal entspannt durchatmen und noch einmal aufmerksam lesen: „Voraussetzung dafür ist, dass ein Angreifer lokal eine Schadsoftware installiert.“
Was das mit dem reflexartigen Cloud-Bashing zu tun hat, leuchtet mir nicht ein.
Und du meinst wenn jemand lokal auf deinen Rechner seine eigene Software installiert (wie in diesem Szenario), kann diese keine Daten aus deinem lokalen KeePass auslesen?
welches man bei Bedarf aber auch über die Cloud auf verschiedenen Systemen synchronisieren kann 😉
Was hat das jetzt mit der gemeldeten Schwachstelle zu tun? Nichts. Das ist ein Fehler in der lokalen Anwendung, die mit einem KeePass-Client genauso passieren kann. Bei 1Password wurde der Fehler nach Bekanntwerden behoben und die Benutzer wurden entsprechen informiert und gewarnt. Bei einem KeePass-Client wird so eine Sicherheitslücke geschlossen, wenn der Hobbyprogrammierer aus dem Urlaub zurück ist und am Wochenende Zeit und Lust hat die IDE anzuwerfen. Obwohl… Da es ja OSS ist, sollten die Anwender ja in der Lage sein, solche Lücken selbst zu finden.
Zum Thema Cloud: wie synchronisierst Du die KeePass-Datenbanken auf Deine Geräten? Was passiert, wenn der eigene Rechner ausfällt? Wie sieht Deine Backup-Strategie aus? Wie oft machst Du Updates vom OS und von KeePass? Hast Du ein Testsystem, auf dem Du die Updates vor der Installation auf Schwachstellen und Fehler testen kannst oder lässt Du die Updates einfach so auf Dein Produktivsystem los? Bist Du in der Lage, eine defekte Keepass-Datenbank zu reparieren?
„Was hat das jetzt mit der gemeldeten Schwachstelle zu tun?“
Dein Gebashe gegen OSS ist jetzt aber auch nicht wirklich fair. Updates bei Bedarf funktionieren regelmäßig, und bei closed Source entdeckt und erfährt man u. U. nie von Lücken.
Können wir davon ausgehen, dass dein Rechnet mit dem KeePass Container absolut niemals an irgendein Netzwerk angeschlossen ist? WOW! Respekt!
Wenn man den eigenen Rechner (die eigene Wohnung) für sicher und unangreifbar hält, dann bräuchte man die Verschlüsselung ja auch gar nicht und könnte gleich alles in einer Textdatei speichern.
Ich nutze ebenfalls KeePass-Varianten auf allen Systemen und speichere die Datei in der Cloud, gerade wegen der Verschlüsselung, auch wenn das die Zahl möglicher „Interessenten“ von eins auf 8 Milliarden erhöht.
Was man mit Bitwarden oder Enpass (WebDAV) auch ohne Clouds anstellen kann 😉