Appleの「macOS High Sierra」に未解決の脆弱性情報、パスワード盗まれる恐れ
「キーチェーン」からパスワードを盗むことができてしまう未解決の脆弱性をセキュリティ研究者が発見し、デモ映像を公開した。
米Appleがリリースしたばかりの新OS、「macOS High Sierra」について、パスワード管理アプリケーションの「キーチェーン」からパスワードを盗むことができてしまう未解決の脆弱(ぜいじゃく)性が指摘された。
この脆弱性に関する情報は、セキュリティ企業Synackの研究者で、米国家安全保障局(NSA)のアナリストだったというパトリック・ウォードル氏が9月25日にTwitterに投稿した。
キーチェーンはMac上でパスワードやアカウント情報などを保存するアプリケーションで、これを使えば別々のWebサイトなどで異なる多数のパスワードを記憶したり管理したりする手間が省ける。
しかしウォードル氏は、攻撃者が不正なコードを使ってキーチェーンに保存されているパスワードを引き出せてしまう問題を発見。同氏が公開したビデオでは、「keychainStealer」というアプリケーションを実行して「exfil keychain」というボタンをクリックすると、Facebook、Twitter、オンラインバンキングなどのパスワードが平文で表示されている。
このアプリケーション実行の過程では、「提案:macOSバグバウンティプログラム(慈善目的)」というウォードル氏の要望も表示される。
ウォードル氏は米Forbesの取材に対し、「root特権がなくても、ユーザーがログインしていれば、キーチェーンから平文のパスワードなどを引き出すことができる。普通はプログラム的にこうしたことができてはならない」とコメントしている。
攻撃を仕掛けるためにはMac上でユーザーに不正なコードを実行させる必要がある。しかしウォードル氏は過去に何度もMac関連の脆弱性を指摘してきた立場から、Mac上で悪意のあるコードを実行させるのはそれほど難しくないと指摘しているという。
関連記事
- Apple、「macOS High Sierra」は9月26日リリース
AppleのiPhone発表イベントではMacについては全く触れられなかったが、次期OSの「macOS High Sierra」が9月26日に登場することが公式サイトでひっそり告知された。 - Apple、「macOS High Sierra」のパブリックベータを公開
Appleが先日の「iOS 11」に続けて「macOS High Sierra」と「tvOS」のパブリックベータも公開した。 - macOS SierraやSafari、Windows向けiCloudとiTunesの更新版公開 深刻な脆弱性が多数
「macOS Sierra 10.12.2」「Safari 10.0.2」、Windows向けの「iCloud for Windows 6.1」「iTunes 12.5.4 for Windows」では深刻な脆弱性が多数修正された。 - 無意識の設定であなたの居場所がダダ漏れに? iPhoneのこんな設定に注意
なぜ、このアプリが位置情報を使ってるの? 無意識に行ったスマホのプライバシー設定であなたの位置情報がダダ漏れしてるとしたら……。 - 米Appleがセキュリティアップデート一挙公開、iOSやmacOSの脆弱性を修正
iOS、macOS、watchOS、Safari、tvOS、およびWindows向けのiCloudとiTunesのセキュリティアップデートが公開された。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.