Macのキーチェーンからパスワードが盗まれる恐れ、macOS Mojaveでゼロデイ脆弱性

Macのキーチェーンからパスワードが盗まれる恐れ、macOS Mojaveでゼロデイ脆弱性

macOSのパスワード管理アプリケーション「キーチェーン」のパスワードを盗むことができる脆弱性が見つかったと、ドイツのセキュリティ研究者Linus Henze氏が動画を公開しています。

macOSの「キーチェーン」からパスワードを盗み出すデモ動画が公開

KeySteal
Linus Henze氏が公開したYouTube動画

ドイツのセキュリティ研究者Linus Henze氏が、macOSのパスワード管理アプリケーション「キーチェーン」に保存されているパスワードをすべて盗むことができる脆弱性が見つかったと報告。

Linus Henze氏は2月4日、自身のTwitterで「KeySteal」というアプリを使い、キーチェーンに保存されているパスワードを盗み出すことに成功している動画を紹介しています。

macOSではキーチェーンに保存されたパスワードを表示するためには、ログイン時に利用するパスワードの入力が必要ですが、「KeySteal」のデモ動画ではパスワードの入力をせずに、キーチェーンに保存されているパスワードを取り出すことに成功しています。

Linus Henze氏は脆弱性の詳細をAppleに共有しない方針

Linus Henze氏はこの脆弱性について、Appleに情報提供していないといい、その理由についてバグ発見者に報奨金が支払われるプログラムがmacOSには存在していないことを挙げています。

iOSにはバグ発見の報奨金プログラムが用意されているため、macOSも報奨金の対象にするようにLinus Henze氏は求めています。