セキュリティ研究者のパトリック・ウォードル氏が発見したmacOSの脆弱性により、署名の有無にかかわらず、あらゆるアプリがキーチェーンからプレーンテキストのパスワードを抽出できる可能性があります。ウォードル氏は、以下のビデオでご覧いただける概念実証アプリを用いて、この脆弱性を悪用するデモを行いました。

この脆弱性は重大です。キーチェーンのデータは 256 ビット AES 暗号化によって保護されており、事実上解読不可能であるはずですが、このバグは High Sierra を含むすべてのバージョンの macOS に影響を与えるからです。

本来であれば、特定のパスワードへのアクセスを許可されたアプリだけがそのパスワードを復号できるはずです。しかし、ウォードル氏は、このアプリがTwitter、Facebook、そしてバンク・オブ・アメリカのパスワードを抽出・復号できることを実証しました。このアプリは、ユーザーの介入なしにこれを実行できます。

デモ動画では、macOSではデフォルトでブロックされる署名なしアプリで動作している様子が示されていますが、ウォードル氏によると、これはセキュリティハードルがいかに低く設定されているかを示すためだけのものだとのことです。署名済みアプリでも同様に動作します。

責任ある研究者として、ウォードル氏は9月7日にAppleに脆弱性を報告し、Appleが修正パッチをリリースするまでは使用された手法を公表しないとした。ウォードル氏は Gizmodoに対し、Appleは近いうちに修正パッチをリリースする可能性が高いと語った。

また、これは新たに導入されたバグではないため、High Sierra へのアップグレードを延期する理由にはならないとも述べています。

皆さん、アップデートした方がいいと思います。優れたセキュリティ機能が沢山組み込まれています。この攻撃はmacOSの古いバージョンでも有効です。アップグレードしない理由はありません。

以下のビデオデモをご覧ください。

パトリック・ウォードル氏は元NSA職員で、昨年、ライブウェブカメラやマイクのフィードにアクセスできるMacマルウェアを実演しました。また、ウェブカメラの写真、スクリーンショット、キーロギングへのアクセスを可能にするMacマルウェアや、Macにローカルアクセス可能なユーザーが権限をルートに昇格できる別のエクスプロイトも発見しました。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。