- ニュース
写真:キリアン・ベル/Cult of Mac
セキュリティ研究者が、macOS Mojave のキーチェーンの重大な欠陥について、詳細とパッチを Apple に提供することを決定しました。この欠陥により、保存されたユーザー名とパスワードに誰でもアクセスできるようになります。
リーナス・ヘンツェ氏は以前、AppleがmacOSのバグ報奨金プログラムを実施しないという決定に抗議し、情報を隠していた。しかし現在、この問題は同社が無視するには深刻すぎると考えている。
ヘンゼ氏は先月、この脆弱性と、それを悪用するために作成したプログラムについて詳細を公表した。同氏が作成したKeyStealツールは、最新バージョンのmacOSにおいて、管理者権限なしでキーチェーンのユーザー名とパスワードを取得することを可能にした。
ヘンゼ氏は当時、アップル社に詳細を明かさないと決断したが、その後考えが変わった。
Apple、キーチェーンの欠陥の詳細を知る
「Appleは反応を示しませんでしたが、キーチェーンの脆弱性を突いた脆弱性をAppleに報告することにしました。これは非常に重大な問題であり、macOSユーザーのセキュリティは私にとって重要なので」とヘンゼ氏はツイートした。「詳細はすべてAppleに送りました。」
驚くべきことに、ヘンゼ氏はアップル社に問題の修正プログラムを「もちろん無料で」送った。
AppleはmacOSのバグを補償しない
もしこれがiOSの欠陥であれば、ヘンゼ氏はAppleのバグ報奨金プログラムの一環として、その発見に対して報奨金を受け取っていただろう。しかし、問題はmacOSにあり、報奨金プログラムが存在しないため、ヘンゼ氏は何も受け取ることができない。
ヘンゼ氏は、他の研究者に対し、macOSで発見した問題を公表し、Appleに詳細を伏せるよう促し、同社にmacOSのバグ報奨金制度を導入するよう圧力をかけていた。しかし、この計画はうまくいかなかった。
Appleはヘンゼ氏に連絡を取り、彼の発見について尋ねましたが、報奨金プログラムの要求には応じませんでした。ヘンゼ氏は、問題の解決とmacOSユーザーの安全確保のために、この要求を受け入れました。
KeySteal攻撃を防ぐ方法
AppleがHenze氏の修正を採用するかどうか、またこの問題がMojaveでいつ修正されるかはまだ明らかではありません。同様の脆弱性を悪用した攻撃者が実際に存在するという報告はありませんが、ユーザーはキーチェーンに追加のパスワードを設定することで安全を確保できます。
