アップルニュース

macOSキーチェーンのセキュリティ上の欠陥が研究者によって発見されましたが、詳細はバグバウンティ抗議でAppleと共有されていません

2019年2月6日水曜日11:18 am PST by Juli Clover

ドイツのセキュリティ研究者LinusHenzeは今週、「KeySteal」と呼ばれる新しいゼロデイmacOSの脆弱性を発見しました。これは、以下のビデオでデモされているように、Keychainアプリに保存されているすべての機密データにアクセスするために使用できます。

Henzeは、管理者アクセスや管理者パスワードを必要とせずに、悪意のあるアプリを使用してMacのキーチェーンアプリからデータを抽出しているようです。キーチェーンからパスワードやその他の情報、および他のmacOSユーザーのパスワードや詳細を取得できます。

iPhoneストレージの最適化とはどういう意味ですか


Henzeは、このエクスプロイトの詳細をAppleと共有しておらず、AppleにはmacOSで利用できるバグ報奨金プログラムがないため、リリースしないと述べています。 「だから彼らを責めなさい」とヘンゼはビデオの説明に書いている。の声明で フォーブス 、ヘンゼは自分の立場を明確にし、脆弱性の発見には時間がかかると述べました。

「このような脆弱性を見つけるには時間がかかります。Appleが製品をより安全にするのを支援しているので、研究者にお金を払うのは正しいことだと思います。」

Appleには、バグを発見した人にお金を提供するiOS向けの報酬プログラムがありますが、macOSのバグに対する同様の支払いシステムはありません。

ドイツのサイトによると ハイゼオンライン 、Henzeに話しかけたこのエクスプロイトは、Macキーチェーンアイテムへのアクセスを許可しますが、iCloudに保存されている情報にはアクセスできません。キーチェーンもロック解除する必要があります。これは、ユーザーがMacで自分のアカウントにログインしたときにデフォルトで発生します。

アップルキーチェーン
キーチェーンはキーチェーンアプリを開くことでロックできますが、アプリケーションがキーチェーンにアクセスする必要があるときはいつでも管理者パスワードを入力する必要があり、これは不便な場合があります。

によると、AppleのセキュリティチームはHenzeに連絡を取りました ZDNet 、しかし彼は、macOSのバグ報奨金プログラムを提供しない限り、追加の詳細を提供することを拒否し続けています。 「私がお金のためだけにこれをしているように見えても、これはこの場合の私の動機ではありません」とヘンゼは言いました。 「私の動機は、Appleにバグ報奨金プログラムを作成させることです。これはAppleとResearchersの両方にとって最良だと思います。」

これは、macOSで発見された最初のキーチェーン関連の脆弱性ではありません。セキュリティ研究者のPatrickWardleは、2017年に同様の脆弱性をデモしましたが、パッチが適用されています。