「キーチェーン」の全パスワード盗まれる恐れ macOS Mojaveの未解決の脆弱性、研究者が報告
コンセプト実証用のアプリ「KeySteal」を使って、キーチェーンに登録された全パスワードを盗む様子を示した動画が公開された。
米AppleのmacOSに搭載されているパスワード管理アプリケーション「キーチェーン」のパスワードを全て盗むことができてしまう脆弱性が新たに見つかったとして、セキュリティ研究者がデモ用の動画を公開した。
セキュリティ研究者のリーナス・ヘンツェ氏は2019年2月3日のTwitterで、macOS Mojaveまでのバージョンに存在する未解決の脆弱性を発見したと報告し、YouTubeに投稿したデモ用の動画を紹介した。
この動画では、最新版のmacOS Mojave(10.14.3)で、コンセプト実証用のアプリ「KeySteal」を使って、キーチェーンに登録されたパスワードを盗む様子を示している。
macOS Mojaveでは通常、ユーザーがキーチェーンに登録されたパスワードを表示させようとすると、キーチェーンのパスワードの入力を促すプロンプト画面が表示される。しかしヘンツェ氏のコンセプト実証アプリでは、プロンプト画面が表示されることなく、キーチェーンに登録されたパスワードを全て抽出することができていた。
報道によると、ヘンツェ氏はこの脆弱性に関する詳細をAppleに提供していないという。その理由について、AppleがmacOSに関しては脆弱性の発見者に賞金を支払うバグバウンティプログラムを設けていないことを挙げ、Appleに対してiOSだけでなくmacOSもバウンティプログラムの対象とするよう求めている。
macOSのキーチェーンを巡っては、過去にも別の研究者が同様の脆弱性を指摘し、やはりAppleに対してmacOSのバグバウンティプログラム提供を要望していた。
関連記事
Appleの「macOS High Sierra」に未解決の脆弱性情報、パスワード盗まれる恐れ
「キーチェーン」からパスワードを盗むことができてしまう未解決の脆弱性をセキュリティ研究者が発見し、デモ映像を公開した。
iOS、macOSなどの脆弱性や不具合を修正 Appleがアップデート一挙公開
iOS、macOS、tvOS、watchOS、Safari、iCloud for Windowsのアップデートがそれぞれ公開された。
macOS Mojaveに未解決の脆弱性、セキュリティ研究者が指摘
macOS Mojaveにユーザーの情報を流出させてしまう未解決の脆弱性が見つかったとして、セキュリティ研究者がデモ映像を公開した。
macOSに未解決の脆弱性、クリック操作偽造の恐れ
クリック操作を合成してさまざまなセキュリティの仕組みをかわし、サードパーティーのカーネル拡張機能をロードするなどの操作ができてしまう脆弱性が発見された。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- AWSリソースを保護するための5つのベストプラクティス CrowdStrikeが指南
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
ITmediaはアイティメディア株式会社の登録商標です。