「Office for iOS / OS X」を開発している,Microsoftのソフトウェア・エンジニア Dale Myers氏が,Mac OS X用,iOS用のパスワード管理アプリとして定番の「1Password」でデータがリークする可能性を指摘する「1Password Leaks Your Data」というエントリーを公開しています。
これは「1Password」の機能の一つであり,クライアント・ソフトウェア無しで,ユーザーが自分のデータにアクセスすることを可能にする「1PasswordAnywhere」に関係するものです。
「1Password」は,データ・フォーマットに独自の「Agile Keychainフォーマットを使用していますが,このフォーマットは複数のJavaScriptファイルをシリーズ化し格納しておき,ユーザーがマスター・パスワードを入力したときに暗号化を解除するようになっています。
ファイルがJavaScript化され,さまざまな暗号アルゴリズムの最適化が行われるうちに,AgileBitsはデータを閲覧するためにHTMLとJavaScriptクライアントという形に落ち着いたようです。
現状,ディスク上の「.agilekeychain」ファイルをブラウズすると,それはディレクトリーであることが解り,その中には「1Password.html」という名前のファイルがあります。仮に,HTTP経由で,このファイルにアクセスすると,鍵の画像とパスワード・フィールドがあるグレー・ページが表示され,パスワードを入力することで自分のデータを見る事が出来ます。
Myers氏は,これらのことからメタデータが暗号化されていないこと,キーチェーンをホストしているDropbox上で同期問題があることを発見したとしています。
この後,「1Password」のデベロッパーのAgileBitsとのやりとりを行い,仕様であるとの事と,2012年12月以降,Agile KeychainそのものをOPVaultに変更しているが,今の所,「1PasswordAnywhere」では使えないとしています。
対応策としては,「Agile Keychainを使わないこと」,もし使っている場合には速やかにOPVaultフォーマットにコンバートする事を推奨しています。
