「macOS High Sierra」App Storeからインストールしないアプリで、パスワードが流出する脆弱性を発見
Image: Apple

「macOS High Sierra」App Storeからインストールしないアプリで、パスワードが流出する脆弱性を発見

それでもHigh Sierraにアップデートしたほうがいいらしい。

本日9月26日公開の最新macOS「High Sierra」に、早速脆弱性が見つかってしまったようです。それも、パスワードが流出してしまうという重大なもの。Synack社のセキュリティー研究者、Patrick Wardle(パトリック・ワードル)がその実際の様子を動画で公開しました。

macOSにはKeychain(キーチェーンアクセス)というアプリがあり、利用者のWi-Fiパスワードやログイン情報クレジットカード情報などを保管・管理しています。本来であれば、それらの情報はユーザーが決めたマスターパスワードを入力しないとアクセスできません。しかしApp Store以外の場所からインストールする、開発者が未確認のアプリケーションの脆弱性をつけばその限りではないとのこと。

実行中のアプリはユーザーの操作なしに、Keychainが保有するすべての情報にアクセスできます。ローカルコードがセキュリティーをバイパスしてKeychainにアクセスできる脆弱性があるためです。

と、米Gizmodoに伝えたWardle氏。そして彼は「keychainStealer」というアプリを作成し、App Storeではない場所からダウンロード。実際にTwitter、Facebook、バンク・オブ・アメリカのパスワードをテキスト状で抽出して見せました。

Wardle氏は9月7日にこの脆弱性をAppleに報告しており、そろそろパッチが配信されるだろうと予想。それまでは作成したアプリを公開するつもりはないものの、

私が見つけられるということは、より多くの時間とリソースを有する国家やサイバー犯罪者達もこの脆弱性に気づいていると思います。

と説明。さらに、この脆弱性はHigh Sierra以前の過去のバージョンのmacOSにもあるとも述べ、それだったら他の面で最新のセキュリティーが施されたHigh Sierraにアップデートしたほうがいいだろうと推奨しました。

とはいえ、初バージョンの「macOS High Sierra 10.13」とともにリリースされたセキュリティアップデート以降、未だパッチなどは公開されていません。

Appleはというと、米Gizmodoの問い合わせにこう返答。

macOSは基本から安全に設計されいます。証明に使われたような署名のないアプリのインストールしようとすると、「Gatekeeper」がユーザに警告します。また、はっきりとした承認があるまでアプリの起動を防ぎます。 Appleとしては、Mac App Storeのような信頼できるソースからのみソフトウェアをダウンロードし、macOSが表示するセキュリティダイアログに注意を払うことをユーザーに推奨します。

macOSでよくブラウザからアプリを落としている方はすでにお気づきかもしれませんが、開発者が未確認のアプリをひらくと、「開発者が未確認のため開けません」と警告がでるようになっています。ここらへんの管理をしているのがGatekeeperというもの。「システム環境設定>セキュリティとプライバシー」から許可することで、最終的にインストールはできますが、現状Appleはこのシステムを使ってうまく回避してね、と言っているわけです。

最後に、この攻撃が成功するには条件があるらしく、その1つがKeychainのパスワードがmacのログインパスワードと同じであること。逆に言えば、パスワードが別なら攻撃は成功しないということなので、App Store以外のアプリを利用している方は変更したほうがいいかもしれません。



Image: Apple
Source: Apple, Forbes, Video: Vimeo

Kate Conger - Gizmodo US[原文
(西谷茂リチャード)

あわせて読みたい

powered by