Мы перехватили HTTPS-трафик Find My на icloud[.]com, и это ясно показывает, что Apple может видеть местоположение каждого онлайн-устройства.

Устройства в онлайн сообщают Apple о своем местоположении без сквозного шифрования даже при включенной функции Advanced Data Protection. Сквозное шифрование применяется только в том случае, если автономные устройства сообщают о своем местоположении через сеть Find My.

Эта функция — очень жуткая технология наблюдения, и ее не должно быть.

В 1Password для Mac обнаружена проблема, затрагивающая средства защиты платформы приложения. Эта проблема позволяет вредоносному процессу, запущенному локально на машине, обойти защиту межпроцессного взаимодействия.

Об этой проблеме нам ответственно сообщила команда Robinhood's Red Team после того, как они решили провести независимую оценку безопасности 1Password для Mac. Компания 1Password не получала сообщений о том, что эта проблема была обнаружена или использована кем-либо еще.

Эта проблема затрагивает все версии 1Password 8 для Mac до 8.10.36 (июль 2024 года). Проблема устранена в версии 1Password для Mac 8.10.36 (июль 2024 года).

Чтобы воспользоваться проблемой, злоумышленник должен запустить вредоносное программное обеспечение на компьютере, специально предназначенном для 1Password для Mac. Злоумышленник может использовать отсутствующие в macOS межпроцессные проверки для перехвата или выдачи себя за доверенную интеграцию 1Password, такую как расширение браузера 1Password или CLI.

Это позволит вредоносному программному обеспечению вывести элементы хранилища, а также получить производные значения, используемые для входа в 1Password, в частности ключ разблокировки учетной записи и "SRP-𝑥".