米Appleがリリースしたばかりの新OS、「macOS High Sierra」について、パスワード管理アプリケーションの「キーチェーン」からパスワードを盗むことができてしまう未解決の脆弱(ぜいじゃく)性が指摘された。
この脆弱性に関する情報は、セキュリティ企業Synackの研究者で、米国家安全保障局(NSA)のアナリストだったというパトリック・ウォードル氏が9月25日にTwitterに投稿した。
キーチェーンはMac上でパスワードやアカウント情報などを保存するアプリケーションで、これを使えば別々のWebサイトなどで異なる多数のパスワードを記憶したり管理したりする手間が省ける。
しかしウォードル氏は、攻撃者が不正なコードを使ってキーチェーンに保存されているパスワードを引き出せてしまう問題を発見。同氏が公開したビデオでは、「keychainStealer」というアプリケーションを実行して「exfil keychain」というボタンをクリックすると、Facebook、Twitter、オンラインバンキングなどのパスワードが平文で表示されている。
このアプリケーション実行の過程では、「提案:macOSバグバウンティプログラム(慈善目的)」というウォードル氏の要望も表示される。
ウォードル氏は米Forbesの取材に対し、「root特権がなくても、ユーザーがログインしていれば、キーチェーンから平文のパスワードなどを引き出すことができる。普通はプログラム的にこうしたことができてはならない」とコメントしている。
攻撃を仕掛けるためにはMac上でユーザーに不正なコードを実行させる必要がある。しかしウォードル氏は過去に何度もMac関連の脆弱性を指摘してきた立場から、Mac上で悪意のあるコードを実行させるのはそれほど難しくないと指摘しているという。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR