【マカー危機】AppleのmacOSに搭載のパスワード管理アプリケーション「キーチェーン」のパスワードを全て盗むことができてしまう脆弱性
macOS Mojaveの未解決の脆弱性、研究者が報告
米AppleのmacOSに搭載されているパスワード管理アプリケーション
「キーチェーン」のパスワードを全て盗むことができてしまう脆弱性が
新たに見つかったとして、セキュリティ研究者がデモ用の動画を公開した。
セキュリティ研究者のリーナス・ヘンツェ氏は2019年2月3日のTwitterで、
macOS Mojaveまでのバージョンに存在する未解決の脆弱性を発見したと
報告し、YouTubeに投稿したデモ用の動画を紹介した。
この動画では、最新版のmacOS Mojave(10.14.3)で、コンセプト実証用の
アプリ「KeySteal」を使って、キーチェーンに登録されたパスワードを
盗む様子を示している。
macOS Mojaveでは通常、ユーザーがキーチェーンに登録されたパスワードを
表示させようとすると、キーチェーンのパスワードの入力を促すプロンプト画面が
表示される。しかしヘンツェ氏のコンセプト実証アプリでは、プロンプト画面が
表示されることなく、キーチェーンに登録されたパスワードを全て
抽出することができていた。
報道によると、ヘンツェ氏はこの脆弱性に関する詳細をAppleに提供して
いないという。その理由について、AppleがmacOSに関しては脆弱性の
発見者に賞金を支払うバグバウンティプログラムを設けていないことを挙げ、
Appleに対してiOSだけでなくmacOSもバウンティプログラムの対象と
するよう求めている。
macOSのキーチェーンを巡っては、過去にも別の研究者が同様の脆弱性を
指摘し、やはりAppleに対してmacOSのバグバウンティプログラム提供を
要望していた。
[鈴木聖子,ITmedia] 2019年02月07日 10時45分 公開
http://www.itmedia.co.jp/news/articles/1902/07/news072.html
※依頼あり
◆◆◆スレッド作成依頼スレ★1249◆◆
[元スレ]http://asahi.5ch.net/test/read.cgi/newsplus/1549533565/
>KeySteal
このアプリはどこにあるの?(´・ω・`)
ダークウェブで約50$ぐらい売ってるやつじゃない?
Mac/iOS向けソフトウェアが作れる
ついにLinuxがMacを潰しにかかるのか
