Apple のオペレーティング システムの新バージョンは、9 月 25 日に世界で初めてコンピュータに搭載されました。並行して、元 NSA ハッカーが、このバージョンのオペレーティング システムを実行しているコンピュータに保存されているすべてのパスワードを盗むことができる脆弱性を公開しました。
この脆弱性の発見者である Patrick Wardle 氏は、 「ハッキング」プロセスとその後のパスワードの取得を観察できるビデオも公開しています。
macOS High Sierra が本日登場: これらはその新機能と互換性のある Mac です
macOS のパスワードは、 キーチェーン と呼ばれる一種のデータベースに保存されます。このパスワード保管庫の内容を復号化するには、ユーザーはマスター キー (通常はシステムのロックを解除するために使用するものと同じもの) を入力する必要があります。
しかし、Wardle が発見した方法を使用すると、事前の検証なしでこれらのパスワードにアクセスすることが可能になります。キーは、いかなる種類の暗号化も行わずにリリースされます。
この脆弱性の発見者はZDNetの取材に対し、9月初めに自身がこのエラーについてAppleに通知したとコメントしている。数週間経った今でも、High Sierra の最終バージョンではバグは解決されていません。
Patrick Wardle 氏は、この脆弱性は macOS と OS X の古いバージョンにも影響を与えると保証しています。ただし、Apple は CNET に送った公式声明の中で、Gatekeeper などのメカニズムが macOS 環境全体のセキュリティを維持する必要があると保証しています。このメカニズムは、試行される各ソフトウェアのインストールを分析し、認定されていない開発者や悪意のあるアプリケーションがシステムにインストールされるのを防ぎます。このメカニズムをバイパスするには、ユーザーは「認定されていない」アプリケーションをインストールするための明示的な許可を与える必要があります。もう 1 つの可能性は、過去に他のマルウェアで起こったように、悪意のあるアルゴリズムを正規のアプリケーションに侵入させることです。
参考資料一覧
- https://www.cnet.com/news/7-things-to-know-before-upgrading-to-macos-high-sierra-10-13/
- http://www.zdnet.com/article/apple-macos-high-sierra-password-vulnerable-to-password-stealing-hack/