Ross Hosman odkrył lukę bezpieczeństwa w popularnym programie do zapisywania haseł oraz innych newralgicznych danych - 1Password. Według autora, aplikacja komunikuje się z dedykowaną wtyczką do przeglądarki Chrome po interfejsie wewnętrznym localhost przy użyciu tekstu jawnego (plain text).

Big 0d67746f 4e50 44d6 9cfe 20b0d5d0a426

Na obecną chwilę autor artykułu potwierdził występowanie problemu w wersji przeglądarki 4.5.3.90 oraz 1Password w odsłonie 6.0.1. Jego zdaniem dotyczy on wszystkich danych przesyłanych przez program, w tym haseł, numerów kart płatniczych i innych informacji zgromadzonych w formularzach. Luka nie stanowi bezpośrednio zagrożenia dla bezpieczeństwa danych użytkowników, o ile na ich komputerze nie znajduje się oprogramowanie szpiegujące, jak na przykład malware. Warto dodać, że Hosman zgłosił problem bezpośrednio do studia AgileBits. Wpis autora można przeczytać w serwisie Medium.

Twórcy 1Password odnieśli się do opisanego wyżej problemu. Zastrzegają oni, że ich możliwości walki z malwarem są w dużym stopniu ograniczone, a każda droga do zaszyfrowania danych przekazywanych do wtyczki wiązałaby się ze znacznym zmniejszeniem wygody użytkowników. AgileBits próbowało różnych rozwiązań, ale żadne nie okazało się optymalne. Studio jest jednak otwarte na sugestie od użytkowników, ale proszą, aby były one przemyślane. Rozważania na ten temat poruszyli już w czerwcu, po zapoznaniu się z pracą Luyina Xinga z Indiana University na temat bezpieczeństwa danych w kontekście oprogramowania firmy Apple.