搜索
查看: 5625|回复: 0

1Password通过loopback接口发送用户的明文密码

[复制链接]

432

主题

573

帖子

2543

积分

核心成员

Rank: 8Rank: 8

积分
2543
发表于 2016-3-5 00:25:32 | 显示全部楼层 |阅读模式

t0155ae85d0ed013a89.jpg

        如果你使用浏览器扩展功能,1Password会通过loopback接口,将你的密码以清晰的文本形式发送出去。

        注:运行Mac OSX 10.11.3,1Password Mac Store 6.0.1,扩展版本的4.5.3.90(谷歌浏览器)

        昨晚我花了一些时间,来查看我的系统上都在运行着什么,以及端口都和什么连接着。这个时候,我看到1Password在loopback的环回接口连接着。

  1. mango:~ ross$ lsof -n -iTCP
  2. COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
  3. 2BUA8C4S2 631 ross 12u IPv4 0x507c280b7bcfe03d 0t0 TCP 127.0.0.1:6258 (LISTEN)
  4. 2BUA8C4S2 631 ross 13u IPv6 0x507c280b75c30955 0t0 TCP [::1]:6258 (LISTEN)
  5. 2BUA8C4S2 631 ross 14u IPv4 0x507c280b7bcfd735 0t0 TCP 127.0.0.1:6263 (LISTEN)
  6. 2BUA8C4S2 631 ross 15u IPv6 0x507c280b75c2e3b5 0t0 TCP [::1]:6263 (LISTEN)
  7. 2BUA8C4S2 631 ross 18u IPv4 0x507c280b7fd6603d 0t0 TCP 127.0.0.1:6263->127.0.0.1:49303 (ESTABLISHED)
  8. 2BUA8C4S2 631 ross 25u IPv4 0x507c280b9e36b24d 0t0 TCP 127.0.0.1:6263->127.0.0.1:56141 (ESTABLISHED)
复制代码

     这勾起了我的兴趣,因为我没有运行任何的服务器功能(除了Wi-Fi的服务器功能),或者任何类似的东西。所以我决定用1Password看看到底发生了什么:

  1. tcpdump -i lo0 -s 65535 -w info.pcap
复制代码

  我把原来的一部分数据传输到Wireshark上,然后我就看到了如下的东西:

t01f754d8fef1ee4c7c.jpg

        而且如果你填写了网站用户名,或者用1Password登录的话,你可以从中很清楚的看到这些信息:

  1. ~..{“action”:”executeFillScript”,”payload”:{“script”:[[“click_on_opid”,”__1"],[“fill_by_opid”,”__1",”<username>”],[“click_on_opid”,”__2"],[“fill_by_opid”,”__2",”<password>”]],”nakedDomains”:[“ycombinator.com”],”documentUUID”:”9983220DB43B058611F22F8542E8D72C”,”autosubmit”:{“focusOpid”:”__2",”helper-capable-of-press-enter-key”:true,”submit”:true},”properties”:{},”fillContextIdentifier”:”{\”itemUUID\”:\”D21FD2D7D188424CA2FDDB137F59AFCE\”,\”profileUUID\”:\”FF2D2B2B4B904F28A4B891EE35B9903E\”,\”uuid\”:\”BD67065A938647C3AE7108F6C11032B9\”}”,”options”:{“animate”:true},”savedUrl”:”https:\/\/news.ycombinator.com\/x?fnid=xxxxxxxxxxx”,”url”:”https:\/\/news.ycombinator.com\/x?fnid=xxxxxxxxxxx”},”version”:”01"}
复制代码

        据此,我认为1Password正在通过loopback接口向浏览器传输数据,并且不仅仅是传输密码,还有信用卡数据以及其中的购买记录。所以,如果有人嗅探你的loopback,他就可以获取你的密码。信用卡数据或购买记录的信息。

        我同样也关注着Dashlane,看他们是如何处理这类通讯联系的,在Dashlane上,一切都是加密过的。但我现在还没有去检查Safe-in-Cloud和Enpass是否也是这样处理。

        作者注:我通过邮件向agilebits说明了这个情况,他们没有一个安全邮箱,但是有一个标准的电子邮件支持,kb@agilebits.com,你可以这样发送电子邮件来报告一些紧急情况:urgent@agilebits.com。我在不久之前给两个地址都发过邮件,但是他们隐藏了域名注册信息,而且在网站上也不提供。他们是真的很想让你去使用他们的支持论坛。

        因为这涉及到人们的密码,是一个本地设备的问题,而且这很容易解决。所以我觉得我把这些问题尽快公布出来对大家来说是个好事,你们可以据此决定是否要继续使用浏览器扩展功能。


您可以更新记录, 让好友们知道您在做什么...
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表