1PasswordのAgile Keychainフォーマットから個人情報が漏洩する恐れが指摘され、AgileBitsが公式コメントを発表。

スポンサーリンク

 1PasswordのAKFフォーマットから個人情報が漏洩する恐れが指摘され、AgileBitsは一部これを否定し問題がないならばOPVaultフォーマットの利用を推奨しています。詳細は以下から。

1Password-Hero

 今月17日、ソフトウェア・エンジニアのDale Myersさんが書いた「1Password から貴方の情報が漏洩しています」という記事が話題になっているようです。

経緯

 この騒動の発端となったDaleさんの主張は以下の通りで、1Passwordが提供している「1PasswordAnywhere」と「Agile Keychainフォーマット」をDropboxで利用している場合、一部のメタデータが暗号化されておらず個人情報が漏洩する恐れがあるというものです。

  1. AgileBitsはネイティブアプリが提供されていないLinuxなどでも1Passwordが利用できるように「1PasswordAnywhere 」というブラウザベースのツールを提供している。
  2. 1PasswordAnywhere はDropbox内の「1Password.agilekeychain」> 「1Password.html」をブラウザで開くことで利用可能。
  3. 1Password.agilekeychainの「Agile Keychain フォーマット」(以下AKF)は2008年に作成されたフォーマットで、このAKF内の「contents.js」にはプレーンテキストで読み取れる各サービスのログイン情報がある。
  4. 1PasswordAnywhere はHTTP プロトコル利用できる。

これ以外にも、ISPなどの各サービスの不具合で送られてきたパスワードリセットリンクがパスワードリセット後にも有効になっており、1Passwordにそのリンクが収納され1PasswordAnywhereから情報が流出した場合、悪意のあるユーザーがアカウントを乗っ取ることも可能だと主張しています。

AgileBitsのコメント

 この記事に対し、1Passwordを開発しているAgileBits Inc,のJeffrey GoldbergさんがHacker Newsに「彼の主張や分析は非常に優れているが、見出しだけ読んだ人には少し誤った印象を与えてしまう」として、こちらも以下の様なコメントを残しています。

Hello all, I’m the Chief Defender Against the Dark Arts at AgileBits, the makers of 1Password.
The discussion and analysis in Dale Myers’ article is very good, although someone who just reads the headline could very easily come away with the wrong impression.

[Hello all, I’m the Chief Defender Against the Dark Arts at AgileBits, the makers… – Hacker News]

  • 2008年に設計されたAKFには確かに彼の主張する通りの脆弱性があるが、我々は既に新しいフォーマット「OPVault」の提供を2012年に開始している。
  • OPVault フォーマットではメタデータの暗号化および認証方法が改善されています。
  • 彼の記事の「OPVaultフォーマットのファイルがDropbox同期のデフォルトフォーマットになっていない」「AKFからOPVaultフォーマットへの簡単な移行方法が提供されていない」という点についてはその通りです。

 最後のAKFからOPVaultフォーマットへの移行方法が示されていないことについてJeffreyさんは「OPVaultフォーマットはMacのデフォルトフォーマットとして開発されたもので、新しいフォーマットを1つのプラットフォームに提供するのは簡単ですが、Windowsとの整合性や不具合によって現在のところOneDrive/Dropbox同期の場合はAKFを利用するようにしている」ともコメントしています。

So if we were to make OPVault the default sync format on Mac, we would need to know that the 1Password app people are using on Windows. We have been conservative about this.

Also, in our beta testing of data migration, we discovered a nasty bug in how we encoded keys for the some attachments. The result is that some of our beta testers would have lost data if they had not had good backups of their AKF data. Obviously, that is not something we wanted to push into general release.
[Hello all, I’m the Chief Defender Against the Dark Arts at AgileBits, the makers… – Hacker News]

 以上のようにAgileBitsは1PasswordのOPVaultフォーマットの移行を進めていますが、1PasswordをMacおよびWindowsなどのマルチプラットフォームで利用しているユーザーに配慮して現在はAKFをDropboxのデフォルトとしているということなので、MacやiOSアプリだけで1Passwordを利用している場合は公式サイトや携帯総合研究所さんの記事を参考にOPVaultフォーマットへの移行してみてください。

追記

 AgileBitsがDaleさんの記事に関して公式ブログに以下の記事を投稿しています。内容としてはJeffreyさんのコメントと同じようすが、AgileBitsは現在1Password for WindowsのBeta版でAKFからOPVaultフォーマットへの移行テストをしており、今後Mac, iOS, Androidアプリも対応し、最終的に全てのプラットフォームのアプリでOPVaultフォーマットへの自動移行を行う予定のようです。

We’ve already started making changes to use OPVault as the default format. In fact, the latest beta of 1Password for Windows does this already. Similar changes are coming to Mac and iOS soon, and we’re planning on using the new format in Android in the future. Once all of these things are complete, we will add an automatic migration for all 1Password users.

[When a Leak Isn’t a Leak – AgileBits Blog]

コメント

  1. Apple7743 より:

    自分もこれ使ってて利用しているサービスが丸分かりじゃねーかと思ってたわ
    OPVaultなんて初めて知ったがWindowsでも使うから移行できるまで待つしかない・・・

  2. Apple7743 より:

    iCloud同期はどうなんだろう。

  3. Apple7743 より:

    >>2
    iCloud同期はOPVaultのみになってるみたいだよ

  4. Apple7743 より:

    マスターキーを常用するとかセキュリティ意識なさ過ぎ。
    楽をする為に何が犠牲になるか考えない人が、こういう製品を使いたがる。

  5. Apple7743 より:

    心配になってバックアップとってから.opvaultの移行手順をやったが.agilekeychainのままだな。
    よく分からん・・・

  6. Apple7743 より:

    Dropboxの同期を無効にしてOPVaultの新しい形式で作り直さないとダメだったらしい・・・

  7. Apple7743 より:

    OS純正のキーチェーンすら危ういのに、個人サードパーティのいつ放置されるかもわからない処にセキュリティに関わる重大な情報を任せる気になるのが凄い

  8. Apple7743 より:

    OSのキーチェーンのほうがいいってことなん?
    しかしクロスプラットフォームじゃないし、それいったらウェブのパスワードとかブラウザごとの似たような仕組みとかもうーん

  9. Apple7743 より:

    >個人サードパーティのいつ放置されるかもわからない処にセキュリティに関わる重大な情報を任せる気になるのが凄い
    別に1Passwordには何の情報も預けてない。Wi-Fi同期使えばiCloudを介せず純正のキーチェーンより安全だというのに無知は怖いね

  10. Apple7743 より:

    セキュリティ意識のない奴だとか考えなしの阿呆だとか言われるけどさ、
    クラウド使うキーチェーンやEvernoteはやっぱり流出リスクはあるし、
    オフラインのメモ帳は電源切れれば使えないし、
    紙のメモ帳も紛失や水濡れリスクはあるし無作為なパスワードには向かない
    阿呆なりに考えて一応セキュリティを謳ってて大手のアプリ使う事にしてる
    もちろん「実は安全じゃありませんでした」となると参るけど…

  11. Apple7743 より:

    純正のキーチェーンより安全?
    誰が安全を保証してるのかね。言えるものなら言ってみなよ。キャバクラの自称認定優良店みたいな文言を信じるタイプだろ。
    無知は怖いね。

  12. Apple7743 より:

    言葉だけが強くて結局水掛け論しかしてないのも何か意味があるのだろうか…
    ※8の人の通り大体の人はそういう考えじゃないんだろうか
    そういうの踏まえてクラウドにしても使えば安全が保障されるとか話題のすり替えではなく
    純性よりマシだろうという話でしょう