macOSのパスワード管理アプリケーション「キーチェーン」のパスワードを盗むことができる脆弱性が見つかったと、ドイツのセキュリティ研究者Linus Henze氏が動画を公開しています。
macOSの「キーチェーン」からパスワードを盗み出すデモ動画が公開
ドイツのセキュリティ研究者Linus Henze氏が、macOSのパスワード管理アプリケーション「キーチェーン」に保存されているパスワードをすべて盗むことができる脆弱性が見つかったと報告。
Linus Henze氏は2月4日、自身のTwitterで「KeySteal」というアプリを使い、キーチェーンに保存されているパスワードを盗み出すことに成功している動画を紹介しています。
Remember KeychainStealer by @patrickwardle which can steal all your keychain passwords?
— Linus Henze (@LinusHenze) February 3, 2019
While his vulnerability is patched now, I've found a new one, affecting macOS Mojave and lower.
More information can be found in my video:https://t.co/wBQL2s6v7z#OhBehaveHack #OhBehaveApple
macOSではキーチェーンに保存されたパスワードを表示するためには、ログイン時に利用するパスワードの入力が必要ですが、「KeySteal」のデモ動画ではパスワードの入力をせずに、キーチェーンに保存されているパスワードを取り出すことに成功しています。
Linus Henze氏は脆弱性の詳細をAppleに共有しない方針
Linus Henze氏はこの脆弱性について、Appleに情報提供していないといい、その理由についてバグ発見者に報奨金が支払われるプログラムがmacOSには存在していないことを挙げています。
iOSにはバグ発見の報奨金プログラムが用意されているため、macOSも報奨金の対象にするようにLinus Henze氏は求めています。