macOS Mojaveの欠陥によりキーチェーンのパスワードが危険にさらされる

macOS Mojave で発見された新たな欠陥により、機密性の高いキーチェーンデータが危険にさらされます。

あるセキュリティ研究者が、管理者権限なしで誰でも保存済みのユーザー名とパスワードにアクセスできる脆弱性を実証しました。しかし、報奨金がないため、Appleには詳細を明かしていません。

Appleはバグ報奨金プログラムを通じて、iOSの深刻な脆弱性を発見した人に報奨金を支払っています。しかし、macOSには同じ仕組みが適用されていません。そのため、研究者のLinuz Henze氏は、Mojaveで新たに発見された脆弱性の詳細を明らかにしていません。

しかし、iOSの問題を特定することで優れた実績を積んできたヘンゼ氏は、この脆弱性によって何が起こり得るのかを世界に正確に示せることに満足しているようだ。そして、それは良くない。

Henze 氏は KeySteal と呼ぶプログラムを使用して、管理者アクセスなしで macOS キーチェーンに保存されたユーザー名とパスワードを盗み取ることに成功しました。

マシンにアクセス制御リストが設定されているかどうかは関係ありません。Macのシステム整合性保護機能もこれを防ぐことはできません。

KeySteal の動作を示す短いビデオを以下に示します。

ヘンゼ氏によると、このエクスプロイトは「ログイン」キーチェーンと「システム」キーチェーンのすべての項目にアクセスできるとのことです。ただし、情報の保存方法が異なっているiCloudキーチェーンのデータにはアクセスできません。

ヘンゼ氏は、macOSにバグ報奨金制度がないことに不満を抱いており、自身の調査結果をAppleに開示するつもりはない。彼は他の研究者にもセキュリティ問題を公表するよう促し、Appleに改善を迫ろうとしている。

Apple が Mojave のこの問題を認識しているかどうかは不明ですが、ユーザーが自分自身を守るためにできることはあります。

KeyStealのような脆弱性をブロックするには、ログインキーチェーンに追加のパスワードを設定してロックをかけます。macOSではデフォルトで保護されていないため、手動で設定する必要があります。この対策は、Macの使用時にパスワード入力を何度も求められるため、理想的とは言えません。

ただし、現時点ではこのmacOSの脆弱性に対する唯一の修正方法なので、この問題が心配な場合は、これが唯一の選択肢となります。

経由：Heise

Oligur