【セキュリティ】「キーチェーン」の全パスワード盗まれる恐れ　macOS Mojaveの未解決の脆弱性、研究者が報告

1 ：ムヒタ ★：2019/02/07(木) 14:58:16.93 ID:CAP_USER.net

　米AppleのmacOSに搭載されているパスワード管理アプリケーション「キーチェーン」のパスワードを全て盗むことができてしまう脆弱性が新たに見つかったとして、セキュリティ研究者がデモ用の動画を公開した。

　セキュリティ研究者のリーナス・ヘンツェ氏は2019年2月3日のTwitterで、macOS Mojaveまでのバージョンに存在する未解決の脆弱性を発見したと報告し、YouTubeに投稿したデモ用の動画を紹介した。

　この動画では、最新版のmacOS Mojave（10.14.3）で、コンセプト実証用のアプリ「KeySteal」を使って、キーチェーンに登録されたパスワードを盗む様子を示している。

　macOS Mojaveでは通常、ユーザーがキーチェーンに登録されたパスワードを表示させようとすると、キーチェーンのパスワードの入力を促すプロンプト画面が表示される。しかしヘンツェ氏のコンセプト実証アプリでは、プロンプト画面が表示されることなく、キーチェーンに登録されたパスワードを全て抽出することができていた。

　報道によると、ヘンツェ氏はこの脆弱性に関する詳細をAppleに提供していないという。その理由について、AppleがmacOSに関しては脆弱性の発見者に賞金を支払うバグバウンティプログラムを設けていないことを挙げ、Appleに対してiOSだけでなくmacOSもバウンティプログラムの対象とするよう求めている。

　macOSのキーチェーンを巡っては、過去にも別の研究者が同様の脆弱性を指摘し、やはりAppleに対してmacOSのバグバウンティプログラム提供を要望していた。

2019年02月07日 10時45分
http://www.itmedia.co.jp/news/articles/1902/07/news072.html

2 ：名刺は切らしておりまして：2019/02/07(木) 15:00:48.31 ID:T11ZL2b1.net

>>1
ジャッキーチェンって言ってほしいのが見え見え

3 ：大島榮城 ：2019/02/07(木) 15:03:56.14 ID:Aczm6c7f.net

使って無いし、知ったことか、いまさら言って

4 ：名刺は切らしておりまして：2019/02/07(木) 15:04:16.75 ID:Xeo7h0lO.net

2がつまらな過ぎて引いた

5 ：名刺は切らしておりまして：2019/02/07(木) 15:06:34.41 ID:Gji1pt9t.net

>>2
酔拳でボコるぞ！

6 ：名刺は切らしておりまして：2019/02/07(木) 15:08:01.75 ID:j9DQ5Jfm.net

バグバウンティプログラムがないの
分かってて
こんなことしてるの？
暇かよ

7 ：名刺は切らしておりまして：2019/02/07(木) 15:12:48.36 ID:fKbFuB+P.net

せっかく上がった林檎の株、まーた明日落ちるやんけー
せっかくマイクロソフト抜いて時価総額1位になったのに〜
ワイの1千万株どないしてくれんのよ、おう？

8 ：名刺は切らしておりまして：2019/02/07(木) 15:29:10.42 ID:jPdHvqpY.net

最悪のパスワード2018年版、1位は「123456」で2位は「password」
https://rosie.5ch.net/test/read.cgi/liveplus/1544758306/l50

9 ：名刺は切らしておりまして：2019/02/07(木) 15:30:12.74 ID:U9+uRi1W.net

俺のパスワード盗んだって限度額低いクレジットカードとエロデータが手に入る程度だぞ

10 ：名刺は切らしておりまして：2019/02/07(木) 15:32:45.17 ID:FCUB94iu.net

Apple製品使ってるやつは頭おかしいのしかいないからどうでもいいわ

鴨がネギしょってる

11 ：名刺は切らしておりまして：2019/02/07(木) 15:41:25.63 ID:v1CgXuT4.net

アップルはバグを発見して再現方法や改善方法を何度もフィードバックをしたり電話サポートへ言っても一切相手にしないからな。
数多くバグはアップルは無視してきてる。
そのうち誰も相手にしなくなるだろう。

12 ：名刺は切らしておりまして：2019/02/07(木) 15:52:16.82 ID:NCq6mTEW.net

>>1
MojaveからDejavuに更新したら問題なくなったよ。

13 ：名刺は切らしておりまして：2019/02/07(木) 15:53:28.19 ID:60fWCYUe.net

>>11
むしろまともに対応してくれる企業を知りたいわ

14 ：名刺は切らしておりまして：2019/02/07(木) 15:55:03.93 ID:5NBH9FSx.net

アップルは税金払ってないくせにセコいな。

15 ：名刺は切らしておりまして：2019/02/07(木) 16:26:26.63 ID:0tGVw247.net

クックとアイブはコンピュータに明るくないからな

16 ：名刺は切らしておりまして：2019/02/07(木) 16:29:28.47 ID:9LiBRgwq.net

>>12
むしろ何かあったような気しかしなくなりそうだけどな

17 ：名刺は切らしておりまして：2019/02/07(木) 16:40:00.50 ID:bxxw/bbi.net

「KeySteal」ってどこからＤＬすればいいのよ？

18 ：大島榮城 ：2019/02/07(木) 16:44:26.20 ID:Aczm6c7f.net

また自動車のナンバーが臭いな

10.6以降で、シャドウパスワードがみんな漏れる
とか言われて、うちのカローラ破壊された

19 ：名刺は切らしておりまして：2019/02/07(木) 17:31:50.36 ID:Vr13T8A/.net

いちおう突っ込んでおくと
第三者がキーチェーンファイルにアクセスできてる時点でもうかなり乗っ取られてるからな

20 ：名刺は切らしておりまして：2019/02/07(木) 17:44:00.43 ID:+mMWw5PQ.net

すでにログインパスワードさえ判ればパスワード見放題だしな。

21 ：名刺は切らしておりまして：2019/02/07(木) 17:58:17.06 ID:PaYXaYBc.net

まあアップルはセキュリティに関しては最悪な所だからな
ノーパス管理者ログインさせる脆弱性何度もやらかしているし

22 ：名刺は切らしておりまして：2019/02/07(木) 19:50:42.24 ID:F6qtST0X.net

怪しいアプリのダウンロードが必要なんだろ

23 ：名刺は切らしておりまして：2019/02/07(木) 22:02:59.69 ID:lvCZo5ir.net

バグだらけなmacOSの方だしいつもの放置プレイで終わりそう。

24 ：名刺は切らしておりまして：2019/02/07(木) 22:28:28.43 ID:w+Xjnplf.net

macOSのキーチェーンを設定しなければすむ話。

25 ：名刺は切らしておりまして：2019/02/07(木) 22:29:23.59 ID:qIxki+aK.net

あらら

26 ：名刺は切らしておりまして：2019/02/07(木) 22:55:31.02 ID:YlkX4CTi.net

リーナス！

27 ：名刺は切らしておりまして：2019/02/07(木) 23:30:19.59 ID:mZTiUYL7.net

やっぱりw
怪しいとは思ってたので使ってない

28 ：名刺は切らしておりまして：2019/02/08(金) 01:05:39.35 ID:O1ZPEnwp.net

キーチェーン使ってる奴いたのか

29 ：名刺は切らしておりまして：2019/02/08(金) 02:32:45.53 ID:B07Zff1G.net

紙最強

30 ：名刺は切らしておりまして：2019/02/08(金) 04:39:37.55 ID:xkOhmBei.net

macの場合キーチェーン自体にアクセス出来た時点で既に乗っとられているのでは
あと運用的にはキーチェーン抽出ソフトが欲しい位
そういう類の便利機能なので

31 ：名刺は切らしておりまして：2019/02/09(土) 01:56:04.03 ID:70XaEMjZ.net

ユーザーが少ないから問題ない

32 ：大島榮城 ：2019/02/09(土) 01:58:15.15 ID:1aLxZAP0.net

>>31
くさり

俺が、大塩佳織の件盗まれたことに起因して
天皇陛下が悪いんだろ

33 ：名刺は切らしておりまして：2019/02/09(土) 13:54:24.51 ID:1gvbcKVV.net

草場の陰でジョブス涙目

34 ：大島榮城 ：2019/02/09(土) 14:24:11.71 ID:1aLxZAP0.net

ユダヤ人が、また電磁気極性反転機使ってカギ開けるつもりか

35 ：名刺は切らしておりまして：2019/02/09(土) 22:02:48.66 ID:+XQI3+80.net

やっぱMacは最高だよな

36 ：名刺は切らしておりまして：2019/02/12(火) 11:17:35.19 ID:LrMTUfYl.net

2段階認証できるとこは、必ずしておくことやね。

37 ：名刺は切らしておりまして：2019/02/14(木) 12:59:58.42 ID:M8DQ+H//.net

2段階認証の俺に隙はなかった。
しかもyubico使っている俺に隙はない