miércoles, 12 de junio de 2013

1Password cifra tus contraseñas, sólo eso, la contraseña

Investigando un poco a 1Password me di cuenta de que la aplicación guarda alguna información sin cifrar. Información que podría ser sensible en muchas ocasiones, como ejemplo imaginemos que … hemos perdido el portátil, y que somos el directivo de nuestra empresa. Bien, usamos 1Password para guardar todas las contraseñas de las que disponemos, que es un número bastante elevado, tarjetas de crédito, password de la sesión de NT, el correo, el router de casa, etc.

1Password puede guardar también notas cifradas, pero … ¿que pasa si sabemos el título de esa nota?
Quizás deje de ser tan confidencial una nota que diga "extractos bancarios anuales tecSystem".
Con ese título entra la curiosidad de ver que es lo que gana esta persona en la empresa…

Yo estas pruebas las he hecho en un Mac OS X, pero diría que esto sucede en otras plataformas.
Buscando en una de las rutas en las que instala archivos 1Password podemos ver como éste almacena algunos datos curiosos.


Entre ellos podemos ver archivos de Backup (que por cierto, éstos se guardan en .zip), y archivos de las sincronizaciones, donde podemos también ver las horas y fechas a las que se realizaron.





Por último comentar, que en la carpeta de los Backup (y creo que también en otras carpetas) se guarda un archivo encriptionKey.js Donde en algunos campos "parece" que muestra el tipo de cifrado, algo que no puedo afirmar, por mis pocos conocimientos en cifrado de datos y en programación.


Podría aventurarme a decir que si rebuscáramos un poco más se podría sacar bastante información, y quien sabe si no podríamos sacar también las Password. De todas maneras creo que con estos archivos podríamos intentar hacer lo mismo que con las aplicaciones de Facebook, Twitter, etc, de los iOS. Y así obtener acceso.