Microsoftのエンジニアが「1Password」の脆弱性を指摘
「Office for iOS / OS X」を開発している,Microsoftのソフトウェア・エンジニア Dale Myers氏が,Mac OS X用,iOS用のパスワード管理アプリとして定番の「1Password」でデータがリークする可能性を指摘する「1Password Leaks Your Data」というエントリーを公開しています。
これは「1Password」の機能の一つであり,クライアント・ソフトウェア無しで,ユーザーが自分のデータにアクセスすることを可能にする「1PasswordAnywhere」に関係するものです。
「1Password」は,データ・フォーマットに独自の「Agile Keychainフォーマットを使用していますが,このフォーマットは複数のJavaScriptファイルをシリーズ化し格納しておき,ユーザーがマスター・パスワードを入力したときに暗号化を解除するようになっています。
ファイルがJavaScript化され,さまざまな暗号アルゴリズムの最適化が行われるうちに,AgileBitsはデータを閲覧するためにHTMLとJavaScriptクライアントという形に落ち着いたようです。
現状,ディスク上の「.agilekeychain」ファイルをブラウズすると,それはディレクトリーであることが解り,その中には「1Password.html」という名前のファイルがあります。仮に,HTTP経由で,このファイルにアクセスすると,鍵の画像とパスワード・フィールドがあるグレー・ページが表示され,パスワードを入力することで自分のデータを見る事が出来ます。
Myers氏は,これらのことからメタデータが暗号化されていないこと,キーチェーンをホストしているDropbox上で同期問題があることを発見したとしています。
この後,「1Password」のデベロッパーのAgileBitsとのやりとりを行い,仕様であるとの事と,2012年12月以降,Agile KeychainそのものをOPVaultに変更しているが,今の所,「1PasswordAnywhere」では使えないとしています。
対応策としては,「Agile Keychainを使わないこと」,もし使っている場合には速やかにOPVaultフォーマットにコンバートする事を推奨しています。
この手のセキュリティ脆弱性情報というのは,たいていセキュリティ調査会社(やや怪しげな)が発表して,釣りっぽい情報だったりする事も多いのですが,今回はユーザーからの報告で,しかも,MicrosoftのOffice for iOS / OS X開発者の指摘でもあり,サポートとのやりとりの経緯,主要なリンク先も丁寧にまとめられているエントリーなので,「1Password」を最適な方法で使うためにも知っておいた方が良い情報かなと判断しまして,トピックに掲載しました。
今回の件で心配が増した1Passwordユーザーの方は「Getting your data into the OPVault format」を参考にして,OPVault形式に切り替えるといいと思います。
あと,一番重要なのは「1Password」のマスターパスワードの管理,他のサービスのパスワードの管理であるのは言うまでもありません。
AgileBits自体はサポートフォーラムでの情報公開も積極的に行っていて,機能改善バージョンのリリースも頻繁に行われているので,いずれこの問題も解決するかなと思っております。プライオリティの話だけだろうな。