【セキュリティ】「キーチェーン」の全パスワード盗まれる恐れ macOS Mojaveの未解決の脆弱性、研究者が報告
■ このスレッドは過去ログ倉庫に格納されています
米AppleのmacOSに搭載されているパスワード管理アプリケーション「キーチェーン」のパスワードを全て盗むことができてしまう脆弱性が新たに見つかったとして、セキュリティ研究者がデモ用の動画を公開した。
セキュリティ研究者のリーナス・ヘンツェ氏は2019年2月3日のTwitterで、macOS Mojaveまでのバージョンに存在する未解決の脆弱性を発見したと報告し、YouTubeに投稿したデモ用の動画を紹介した。
この動画では、最新版のmacOS Mojave(10.14.3)で、コンセプト実証用のアプリ「KeySteal」を使って、キーチェーンに登録されたパスワードを盗む様子を示している。
macOS Mojaveでは通常、ユーザーがキーチェーンに登録されたパスワードを表示させようとすると、キーチェーンのパスワードの入力を促すプロンプト画面が表示される。しかしヘンツェ氏のコンセプト実証アプリでは、プロンプト画面が表示されることなく、キーチェーンに登録されたパスワードを全て抽出することができていた。
報道によると、ヘンツェ氏はこの脆弱性に関する詳細をAppleに提供していないという。その理由について、AppleがmacOSに関しては脆弱性の発見者に賞金を支払うバグバウンティプログラムを設けていないことを挙げ、Appleに対してiOSだけでなくmacOSもバウンティプログラムの対象とするよう求めている。
macOSのキーチェーンを巡っては、過去にも別の研究者が同様の脆弱性を指摘し、やはりAppleに対してmacOSのバグバウンティプログラム提供を要望していた。
2019年02月07日 10時45分
http://www.itmedia.co.jp/news/articles/1902/07/news072.html >>1
ジャッキーチェンって言ってほしいのが見え見え バグバウンティプログラムがないの
分かってて
こんなことしてるの?
暇かよ せっかく上がった林檎の株、まーた明日落ちるやんけー
せっかくマイクロソフト抜いて時価総額1位になったのに〜
ワイの1千万株どないしてくれんのよ、おう? 俺のパスワード盗んだって限度額低いクレジットカードとエロデータが手に入る程度だぞ Apple製品使ってるやつは頭おかしいのしかいないからどうでもいいわ
鴨がネギしょってる アップルはバグを発見して再現方法や改善方法を何度もフィードバックをしたり電話サポートへ言っても一切相手にしないからな。
数多くバグはアップルは無視してきてる。
そのうち誰も相手にしなくなるだろう。 >>1
MojaveからDejavuに更新したら問題なくなったよ。 >>11
むしろまともに対応してくれる企業を知りたいわ >>12
むしろ何かあったような気しかしなくなりそうだけどな 「KeySteal」ってどこからDLすればいいのよ? また自動車のナンバーが臭いな
10.6以降で、シャドウパスワードがみんな漏れる
とか言われて、うちのカローラ破壊された いちおう突っ込んでおくと
第三者がキーチェーンファイルにアクセスできてる時点でもうかなり乗っ取られてるからな すでにログインパスワードさえ判ればパスワード見放題だしな。 まあアップルはセキュリティに関しては最悪な所だからな
ノーパス管理者ログインさせる脆弱性何度もやらかしているし バグだらけなmacOSの方だしいつもの放置プレイで終わりそう。 macの場合キーチェーン自体にアクセス出来た時点で既に乗っとられているのでは
あと運用的にはキーチェーン抽出ソフトが欲しい位
そういう類の便利機能なので >>31
くさり
俺が、大塩佳織の件盗まれたことに起因して
天皇陛下が悪いんだろ ユダヤ人が、また電磁気極性反転機使ってカギ開けるつもりか 2段階認証の俺に隙はなかった。
しかもyubico使っている俺に隙はない ■ このスレッドは過去ログ倉庫に格納されています