18. Juni 2015

Philipp Tusch

1Password zur Mac-Sicherheitslücke: Keinen Zugriff auf unsere Datenbank

Die gestern auch in unserem Blog thematisierte Sicherheitslücke unter iOS und OS X schlug hohe Wellen. Ausgehend von einem Bericht auf TheRegister machte die Meldung auf Portalen aus aller Welt die Runde. Immer mit dabei: Der Verweis auf mögliche Folgen der Sicherheitslücke. Denn in der Tat kann die Malware, die es sogar (einmal zumindest) vorbei an Apples Prüfungsstelle geschafft hat, auf vertrauliche Informationen, wie Passwörter, von Drittanbieter-Apps zugreifen. Das ließ insbesondere 1Password-Nutzer aufhorchen.

Nun hat sich AgileBits zu Wort gemeldet und adressiert in den Kommentaren unter unserem gestrigen Artikel speziell die Apfelpage-Leser:

[…] Ja, 1Password ist auch potentiell von diesem Problem betroffen. Jedoch kann ein Angreifer keinen Zugriff auf die 1Password-Datenbank erlangen. Unter bestimmten Umständen ist es möglich die Kommunikation zwischen 1Password und den 1Password Browser-Erweiterungen abzufangen und damit übertragene Zugangsdaten auszulesen.

Dabei verweist der Sprecher auf den firmeneigenen Blog, auf dem sich gestern anlässlich der Berichte der Sicherheitsexperte Jeff Goldberg ausführlich zu den Sicherheitsrisiken bei der Kommunikation zwischen Programmen, der XARA-Attacke, und 1Password mini geäußert hat. Demnach sei es möglich, sich als Browsererweiterung auszugeben und so Abfragen abzufangen. Eine Lösung dafür sei aber sehr schwer zu finden – selbst die Hacker der Uni, welche die Lücke fanden, hatten nur Ansätze. Es sieht so aus, als müsse Apple hier ran. Bislang hat aber noch keiner die komplizierte Sicherheitslücke genutzt.

Wir unterdessen können der schnellen und ausführlichen Reaktion der 1Password-Macher das Attribut „lesenswert“ aufdrücken.

Imagepflege am Rande.

Und noch etwas wollten die Entwickler geklärt wissen: Es geht um die Rabattaktion der Mac-App, die wir im AppSalat erwähnten.

Hallo liebe apfelpage.de-Leser, […] Ich wollte nur eine kurze Anmerkung zum Timing unserer Rabattaktion geben: Die Aktion hat nichts mit den Problemen zu tun, die LastPass gerade hat. 1Password wurde heute neun Jahre alt und deswegen haben wir zu Beginn der Woche die Aktion gestartet.

Wir empfinden keinerlei Schadenfreude bei den aktuellen Ereignissen und würden auch nie aus sowas Profit schlagen wollen.

Imagepflege darf sein.

Weitere Artikel

Das seht ihr bei Prime Video im Juli 2025

Patrick Bergmann

iOS 20? War da was? Wären die neuen Namen alte! (Die Kolumne)

Marco Fileccia

Vision Pro und AR-Glasses: Ein faszinierender Ausblick auf Apples mögliche Pläne

Roman van Genabith

11 Gedanken zu „1Password zur Mac-Sicherheitslücke: Keinen Zugriff auf unsere Datenbank“

1Password ist bei mir auf dem Mac und in iOS im Einsatz. Seit der Safari-Erweiterung auch endlich auf dem iPhone nützlich!

wenn die Software nur nicht so teuer wäre… Warum muss ich dafür zahlen, wenn iCloud Keychain das gleiche kann?

Kay

18. Juni 2015 um 10:30 Uhr

Kann es leider nicht! Bei 1Password muss ich jedes Mal mit meinem Passwort oder Touch ID entsperren, um an ein Passwort zu kommen. Bei iCloud Keychain nicht. Bedeutet: Wenn ich jemandem mein Handy in die Hand gebe, hätte er Zugriff auf all meine Zugangsdaten.
- LukasDasOriginal
  
  18. Juni 2015 um 11:10 Uhr
  
  sehe ich genauso! 1Password ist einfach sicherer – schon vom Gefühl her. Außerdem kannst du damit auch auf die Datenbank der Passwörter zugreifen und komplexe Kennwörter bei Bedarf generieren
- Thomas
  
  18. Juni 2015 um 15:19 Uhr
  
  Letztendlich macht es wenig Unterschied: Du gibst im Normalfall nur Freunden dein iPhone, diese kennen deine E-Mail-Adresse sowieso meistens. Da das Passwort nicht im Klartext angezeigt wird, haben sie keinen Zugriff auf deine Zugabgsdaten sondern auf dein Konto. Sobald du das Handy wieder wegnimmst, ist es auch vorbei.

hey, Ich finde das sehr gut, wie offen 1Password das kommuniziert. Von Apple hat man ja bislang noch GAR NICHTS gehört?!

LukasDasOriginal

18. Juni 2015 um 11:11 Uhr

Die scheinen sich wirklich nicht zu äußern…

Nicht erst seit diesem Vorfall habe ich kein Vertrauen mehr in die Passwortsafes. Also weder den guten alten Papierzettel mit den Zugangsdaten in den Safe zuhause. Das Risiko eines Wohnungseinbruchs ist sicher geringer als der Datenklau im Netz. Oder denke ich da zu altmodisch??

FK

19. Juni 2015 um 14:48 Uhr

egal ob altmodisch – definitiv hast Du recht! Wer bricht schon in eine Hütte ein und sucht Deinen Zettel mit Zugangsdaten – und wenn doch ist die Wahrscheinlichkeit groß, dass Du es leicht bemerkst und aktiv werden kannst…

Alle Achtung an das 1Password Team. Tolle Reaktion AppleCare nun schon seit 9 Monaten nicht reagiert

Egal, wie schwer eine Lösung -zu einem Sicherheitsproblem- auch zu finden sein mag: Just DO IT !

Die Kommentare sind geschlossen.

1Password zur Mac-Sicherheitslücke: Keinen Zugriff auf unsere Datenbank

Imagepflege am Rande.

Weitere Artikel

Das seht ihr bei Prime Video im Juli 2025

iOS 20? War da was? Wären die neuen Namen alte! (Die Kolumne)

Vision Pro und AR-Glasses: Ein faszinierender Ausblick auf Apples mögliche Pläne

Apple Watch: 17 Prozent greifen zum Ersatzarmband

(UPDATE) iOS-Betas: „Radio“-Punkt erscheint in der Musik-App

11 Gedanken zu „1Password zur Mac-Sicherheitslücke: Keinen Zugriff auf unsere Datenbank“

Das seht ihr bei Prime Video im Juli 2025

iOS 20? War da was? Wären die neuen Namen alte! (Die Kolumne)

Vision Pro und AR-Glasses: Ein faszinierender Ausblick auf Apples mögliche Pläne