0001ムヒタ ★2019/02/07(木) 14:58:16.93ID:CAP_USER
米AppleのmacOSに搭載されているパスワード管理アプリケーション「キーチェーン」のパスワードを全て盗むことができてしまう脆弱性が新たに見つかったとして、セキュリティ研究者がデモ用の動画を公開した。
セキュリティ研究者のリーナス・ヘンツェ氏は2019年2月3日のTwitterで、macOS Mojaveまでのバージョンに存在する未解決の脆弱性を発見したと報告し、YouTubeに投稿したデモ用の動画を紹介した。
この動画では、最新版のmacOS Mojave(10.14.3)で、コンセプト実証用のアプリ「KeySteal」を使って、キーチェーンに登録されたパスワードを盗む様子を示している。
macOS Mojaveでは通常、ユーザーがキーチェーンに登録されたパスワードを表示させようとすると、キーチェーンのパスワードの入力を促すプロンプト画面が表示される。しかしヘンツェ氏のコンセプト実証アプリでは、プロンプト画面が表示されることなく、キーチェーンに登録されたパスワードを全て抽出することができていた。
報道によると、ヘンツェ氏はこの脆弱性に関する詳細をAppleに提供していないという。その理由について、AppleがmacOSに関しては脆弱性の発見者に賞金を支払うバグバウンティプログラムを設けていないことを挙げ、Appleに対してiOSだけでなくmacOSもバウンティプログラムの対象とするよう求めている。
macOSのキーチェーンを巡っては、過去にも別の研究者が同様の脆弱性を指摘し、やはりAppleに対してmacOSのバグバウンティプログラム提供を要望していた。
2019年02月07日 10時45分
http://www.itmedia.co.jp/news/articles/1902/07/news072.html 0002名刺は切らしておりまして2019/02/07(木) 15:00:48.31ID:T11ZL2b1
>>1
ジャッキーチェンって言ってほしいのが見え見え 0003大島榮城 ◆n3rBZgRz6w 2019/02/07(木) 15:03:56.14ID:Aczm6c7f
使って無いし、知ったことか、いまさら言って
0004名刺は切らしておりまして2019/02/07(木) 15:04:16.75ID:Xeo7h0lO
2がつまらな過ぎて引いた
0006名刺は切らしておりまして2019/02/07(木) 15:08:01.75ID:j9DQ5Jfm
バグバウンティプログラムがないの
分かってて
こんなことしてるの?
暇かよ
0007名刺は切らしておりまして2019/02/07(木) 15:12:48.36ID:fKbFuB+P
せっかく上がった林檎の株、まーた明日落ちるやんけー
せっかくマイクロソフト抜いて時価総額1位になったのに〜
ワイの1千万株どないしてくれんのよ、おう?
0008名刺は切らしておりまして2019/02/07(木) 15:29:10.42ID:jPdHvqpY
0009名刺は切らしておりまして2019/02/07(木) 15:30:12.74ID:U9+uRi1W
俺のパスワード盗んだって限度額低いクレジットカードとエロデータが手に入る程度だぞ
0010名刺は切らしておりまして2019/02/07(木) 15:32:45.17ID:FCUB94iu
Apple製品使ってるやつは頭おかしいのしかいないからどうでもいいわ
鴨がネギしょってる
0011名刺は切らしておりまして2019/02/07(木) 15:41:25.63ID:v1CgXuT4
アップルはバグを発見して再現方法や改善方法を何度もフィードバックをしたり電話サポートへ言っても一切相手にしないからな。
数多くバグはアップルは無視してきてる。
そのうち誰も相手にしなくなるだろう。
0012名刺は切らしておりまして2019/02/07(木) 15:52:16.82ID:NCq6mTEW
>>1
MojaveからDejavuに更新したら問題なくなったよ。 >>11
むしろまともに対応してくれる企業を知りたいわ 0015名刺は切らしておりまして2019/02/07(木) 16:26:26.63ID:0tGVw247
クックとアイブはコンピュータに明るくないからな
0016名刺は切らしておりまして2019/02/07(木) 16:29:28.47ID:9LiBRgwq
>>12
むしろ何かあったような気しかしなくなりそうだけどな 0017名刺は切らしておりまして2019/02/07(木) 16:40:00.50ID:bxxw/bbi
「KeySteal」ってどこからDLすればいいのよ?
0018大島榮城 ◆n3rBZgRz6w 2019/02/07(木) 16:44:26.20ID:Aczm6c7f
また自動車のナンバーが臭いな
10.6以降で、シャドウパスワードがみんな漏れる
とか言われて、うちのカローラ破壊された
0019名刺は切らしておりまして2019/02/07(木) 17:31:50.36ID:Vr13T8A/
いちおう突っ込んでおくと
第三者がキーチェーンファイルにアクセスできてる時点でもうかなり乗っ取られてるからな
すでにログインパスワードさえ判ればパスワード見放題だしな。
まあアップルはセキュリティに関しては最悪な所だからな
ノーパス管理者ログインさせる脆弱性何度もやらかしているし
0022名刺は切らしておりまして2019/02/07(木) 19:50:42.24ID:F6qtST0X
怪しいアプリのダウンロードが必要なんだろ
0023名刺は切らしておりまして2019/02/07(木) 22:02:59.69ID:lvCZo5ir
バグだらけなmacOSの方だしいつもの放置プレイで終わりそう。
0024名刺は切らしておりまして2019/02/07(木) 22:28:28.43ID:w+Xjnplf
macOSのキーチェーンを設定しなければすむ話。
0025名刺は切らしておりまして2019/02/07(木) 22:29:23.59ID:qIxki+aK
あらら
0026名刺は切らしておりまして2019/02/07(木) 22:55:31.02ID:YlkX4CTi
リーナス!
0027名刺は切らしておりまして2019/02/07(木) 23:30:19.59ID:mZTiUYL7
やっぱりw
怪しいとは思ってたので使ってない
macの場合キーチェーン自体にアクセス出来た時点で既に乗っとられているのでは
あと運用的にはキーチェーン抽出ソフトが欲しい位
そういう類の便利機能なので
0031名刺は切らしておりまして2019/02/09(土) 01:56:04.03ID:70XaEMjZ
ユーザーが少ないから問題ない
0032大島榮城 ◆n3rBZgRz6w 2019/02/09(土) 01:58:15.15ID:1aLxZAP0
>>31
くさり
俺が、大塩佳織の件盗まれたことに起因して
天皇陛下が悪いんだろ 0034大島榮城 ◆n3rBZgRz6w 2019/02/09(土) 14:24:11.71ID:1aLxZAP0
ユダヤ人が、また電磁気極性反転機使ってカギ開けるつもりか
0035名刺は切らしておりまして2019/02/09(土) 22:02:48.66ID:+XQI3+80
やっぱMacは最高だよな
0037名刺は切らしておりまして2019/02/14(木) 12:59:58.42ID:M8DQ+H//
2段階認証の俺に隙はなかった。
しかもyubico使っている俺に隙はない