【マカー危機】AppleのmacOSに搭載のパスワード管理アプリケーション「キーチェーン」のパスワードを全て盗むことができてしまう脆弱性

**窓際政策秘書改め窓際被告 ★** · 2019/02/07(木) 18:59:25.80

「キーチェーン」の全パスワード盗まれる恐れ
macOS Mojaveの未解決の脆弱性、研究者が報告

　米AppleのmacOSに搭載されているパスワード管理アプリケーション
「キーチェーン」のパスワードを全て盗むことができてしまう脆弱性が
新たに見つかったとして、セキュリティ研究者がデモ用の動画を公開した。

　セキュリティ研究者のリーナス・ヘンツェ氏は2019年2月3日のTwitterで、
macOS Mojaveまでのバージョンに存在する未解決の脆弱性を発見したと
報告し、YouTubeに投稿したデモ用の動画を紹介した。

　この動画では、最新版のmacOS Mojave（10.14.3）で、コンセプト実証用の
アプリ「KeySteal」を使って、キーチェーンに登録されたパスワードを
盗む様子を示している。

　macOS Mojaveでは通常、ユーザーがキーチェーンに登録されたパスワードを
表示させようとすると、キーチェーンのパスワードの入力を促すプロンプト画面が
表示される。しかしヘンツェ氏のコンセプト実証アプリでは、プロンプト画面が
表示されることなく、キーチェーンに登録されたパスワードを全て
抽出することができていた。

　報道によると、ヘンツェ氏はこの脆弱性に関する詳細をAppleに提供して
いないという。その理由について、AppleがmacOSに関しては脆弱性の
発見者に賞金を支払うバグバウンティプログラムを設けていないことを挙げ、
Appleに対してiOSだけでなくmacOSもバウンティプログラムの対象と
するよう求めている。

　macOSのキーチェーンを巡っては、過去にも別の研究者が同様の脆弱性を
指摘し、やはりAppleに対してmacOSのバグバウンティプログラム提供を
要望していた。

[鈴木聖子，ITmedia] 2019年02月07日 10時45分公開
http://www.itmedia.co.jp/news/articles/1902/07/news072.html

※依頼あり
◆◆◆スレッド作成依頼スレ★1249◆◆
http://asahi.5ch.net/test/read.cgi/newsplus/1549429638/241

**名無しさん＠１周年** · 2019/02/07(木) 19:00:00.93

マック使う意味ってあんの？

**名無しさん＠１周年** · 2019/02/07(木) 19:00:03.10

マジかよ！

**名無しさん＠１周年** · 2019/02/07(木) 19:00:18.99

そんなアプリあったんや

**名無しさん＠１周年** · 2019/02/07(木) 19:00:23.27

>>1
>KeySteal

このアプリはどこにあるの？(´・ω・`)

**名無しさん＠１周年** · 2019/02/07(木) 19:00:25.40

ほんマカ？

**名無しさん＠１周年** · 2019/02/07(木) 19:00:32.90

おー

**名無しさん＠１周年** · 2019/02/07(木) 19:01:11.69

iTunesしか知らん

**名無しさん＠１周年** · 2019/02/07(木) 19:01:34.41

リーナスさん…
ついにLinuxがMacを潰しにかかるのか

**名無しさん＠１周年** · 2019/02/07(木) 19:01:51.68

(´･ω･`)Windows使っててよかった

**名無しさん＠１周年** · 2019/02/07(木) 19:02:25.95

まあ、影響はない。

**名無しさん＠１周年** · 2019/02/07(木) 19:03:30.75

まぁマックなんて昔からこんなやん

**名無しさん＠１周年** · 2019/02/07(木) 19:04:03.88

>>8
タイムマシンも知ってるぞ

**名無しさん＠１周年** · 2019/02/07(木) 19:04:07.51

ここでパスワード強度わかるよ
https://howsecureismypassword.net/

**名無しさん＠１周年** · 2019/02/07(木) 19:04:16.66

ローカルでの攻撃？

**名無しさん＠１周年** · 2019/02/07(木) 19:04:39.08

Macならウイルス対策いらんとかドヤ顔だったスタバマカー死亡か

**名無しさん＠１周年** · 2019/02/07(木) 19:04:46.94

> 過去にも別の研究者が同様の脆弱性を指摘
ま、信者しか使わないから脆弱性なんて無視でいいんだろうな

**名無しさん＠１周年** · 2019/02/07(木) 19:05:53.07

マカの壁

**名無しさん＠１周年** · 2019/02/07(木) 19:07:18.42

こないだmac book pro 2018買ったばっかなのに...

**名無しさん＠１周年** · 2019/02/07(木) 19:07:39.87

>>5
ダークウェブで約50＄ぐらい売ってるやつじゃない？

**名無しさん＠１周年** · 2019/02/07(木) 19:13:26.05

>>2
Mac/iOS向けソフトウェアが作れる

**名無しさん＠１周年** · 2019/02/07(木) 19:15:24.17

そんな事だろうと思って1パスワード系は使った事ない

**名無しさん＠１周年** · 2019/02/07(木) 19:16:26.74

>>14
不思議とパスワードが集まるスレみたいな

**名無しさん＠１周年** · 2019/02/07(木) 19:17:01.10

>>16
バカは黙ってような

**名無しさん＠１周年** · 2019/02/07(木) 19:22:03.47

パスワードを登録記録しておこうって発想自体が本末転倒ナンセンス

**名無しさん＠１周年** · 2019/02/07(木) 19:23:33.50

まじか

MacOS9.2.2もついに終焉か・・・

**名無しさん＠１周年** · 2019/02/07(木) 19:24:41.02

>>25
おまえ

電子署名の秘密鍵とかアンキしてんの?w

**名無しさん＠１周年** · 2019/02/07(木) 19:27:27.08

Appleなんか元々はダメダメで、一般的には信者にしか受け入れられてなかった
音楽、デザイン関連で仕方なく使うか、そっちにかぶれた意識高い系が使うくらい

Macが一般人に受け入れられたのはジョブズがAppleに戻って来た辺りからだ
初代iMacのカラーバリエーションに惹かれて、MacとPC/AT互換機の区別も付かずに買ってしまうアホが大量に湧いた
その辺りからお洒落なイメージが付いてiPod→iPhone→あiPadと定着して行った
だがジョブスが亡くなって以降、急速に元のダメダメAppleに戻りつつある
Appleがおかしくなってるんじゃなく、ジョブズがいた間のAppleがおかしかっただけ

**名無しさん＠１周年** · 2019/02/07(木) 19:27:27.88

>>19
信仰が足りません

絶対神アポを信じるのです！
アポより賜りし究極の器物に欠陥など無いと唱え続けるのです！！！

さすれば、都合の悪い真実から目をそらし、ただただ絶対神アポのみを信じる心で満たされるのです！！

**名無しさん＠１周年** · 2019/02/07(木) 19:28:22.92

>>27
スマートカードに入れて、PIN（パスワード）じゃね
スマートカードの表面に付箋紙でパスワードを書くまでが日常。

でも、なんでスマートカードって普及しないんだろうな

**名無しさん＠１周年** · 2019/02/07(木) 19:29:51.18

ジョブズの生まれ変わりが近々覚醒するから大丈夫

**名無しさん＠１周年** · 2019/02/07(木) 19:42:00.74

マック垢さーまーに　落ちてデザイア♪

**名無しさん＠１周年** · 2019/02/07(木) 19:42:35.69

macではよくあること
そういうの納得して使ってるんだからOK

**名無しさん＠１周年** · 2019/02/07(木) 19:43:08.29

OSX 10.9.5で不便だから買い替えようと思っていたので
丁度いい機会だ

**名無しさん＠１周年** · 2019/02/07(木) 19:44:47.72

iOSは大丈夫なんか？

**名無しさん＠１周年** · 2019/02/07(木) 19:59:03.17

>>35
まずappstoreの審査を通らないだろ。

**名無しさん＠１周年** · 2019/02/07(木) 20:16:01.60

元々キーチェーンなんて信用してないから、インスタとかツイッターとか、どうでも良いパスワードしか記憶させとらん。
しかし、ローカルにパスワード保存してるから、アップルに修理出す時、ドキドキだわ(笑)

**名無しさん＠１周年** · 2019/02/07(木) 20:45:10.55

金くれｗ

**名無しさん＠１周年** · 2019/02/07(木) 21:01:33.94

>>16
別にマックのセキュリティが高いのでは無くウイルス製作者がマックに眼中が無いから安全で無かった？

**名無しさん＠１周年** · 2019/02/07(木) 21:09:42.37

>>39
ユーザー数の問題だよね
同じ労力をかけるなら、より使用台数の多い機種のウイルスを作った方が感染効率が上がるわけで

**名無しさん＠１周年** · 2019/02/07(木) 21:10:23.34

中国人は
Apple不買いで大正解だなw

**名無しさん＠１周年** · 2019/02/07(木) 21:44:55.45

そういやキーチェーン使ってないな

**名無しさん＠１周年** · 2019/02/07(木) 21:48:00.14

へへんキーチェーンなんか使ってないよ〜んwww

**名無しさん＠１周年** · 2019/02/07(木) 22:00:26.81

さすがアッポー

**名無しさん＠１周年** · 2019/02/07(木) 22:03:07.07

>>14
こういうのに騙されてパスワード抜かれる奴が想像の100倍は居るんだろうな

**名無しさん＠１周年** · 2019/02/07(木) 22:04:46.69

信心があれば全く問題無い話

**名無しさん＠１周年** · 2019/02/07(木) 22:06:43.44

おい！
やへえだろこら

**名無しさん＠１周年** · 2019/02/07(木) 22:13:33.87

Windowsだったら即★5くらいまで逝くネタだよな

**名無しさん＠１周年** · 2019/02/07(木) 22:53:02.27

真のマカーは1Passwordだから無問題

**名無しさん＠１周年** · 2019/02/07(木) 23:20:06.32

パスワードを安全に管理するソフトで根こそぎ取られるとかアホ過ぎる…
やっぱパスワード管理は紙の手帳が最強だな

**名無しさん＠１周年** · 2019/02/07(木) 23:21:45.07

俺のLastpassのパスもいずれ全部お漏らしされちゃうんだろうな

**名無しさん＠１周年** · 2019/02/07(木) 23:24:41.58

＞AppleがmacOSに関しては脆弱性の発見者に賞金を支払うバグバウンティプログラムを設けていない

こっすいなAppleｗｗｗｗｗ
今までも相当脆弱性突かれてパス盗み放題だったんだろうなぁ

**名無しさん＠１周年** · 2019/02/08(金) 03:20:56.98

なんか最近慣れてきた

**名無しさん＠１周年** · 2019/02/08(金) 03:23:26.74

ポンコツ

**名無しさん＠１周年** · 2019/02/08(金) 03:46:55.11

パスワード管理アプリを押すサイトってほんと多いよな
でもパスワード管理用アプリって、
マスターパスワード１つを覚えて自分のPC内かクラウドでパスワードを管理するというものだからねぇ
漏れる時は漏れるわな

やはり面倒くさくてもパスワードや暗証番号は手帳などアナログなものに書いておくかするしかないのかな

**名無しさん＠１周年** · 2019/02/08(金) 03:52:00.64

ASKAが一言↓

**名無しさん＠１周年** · 2019/02/08(金) 04:28:10.09

>>49
www

**名無しさん＠１周年** · 2019/02/08(金) 04:37:24.89

pwは紙に書け

**名無しさん＠１周年** · 2019/02/08(金) 05:04:51.43

かつては（10.2.8ごろまで確認。それ以降は知らね）CD、DVDから起動するとパスワード設定のメニューが出たよねw
必死さがぜんぜん似合わないふんわかパソコンじゃったのぅ

**名無しさん＠１周年** · 2019/02/08(金) 08:29:25.12

現実と同様、キーチェーンを盗まれたら当然カギも思いのままということだな

**名無しさん＠１周年** · 2019/02/08(金) 08:32:32.03

>>25
キャッシュカードの暗証番号じゃねーんだから。
オンライン銀行なんか、何だかんだのパスワード５，６個なんざザラ。
絶対覚えらんないわｗ

**名無しさん＠１周年** · 2019/02/08(金) 09:05:19.21

自分は中学の時好きだった子の電話番号、住所、身長体重、出席番号とかの組み合わせにして、
自分のメモには「体重住所と684」とか「電話番号逆から」とかメモしてる。
これだと人にメモ見られても絶対にわからなくて安全

**名無しさん＠１周年** · 2019/02/08(金) 09:55:29.46

>>61
付き合ってた彼女の名前＋現嫁の名前＋好きな数字とかなら覚えられるだろ

**名無しさん＠１周年** · 2019/02/08(金) 09:59:51.49

iOSとかセキュリティ万全のイメージだが
現実は「サンデープログラマー(素人プログラマー)が作ったのか？」と
揶揄されるほどセキュリティホールの塊だからな。

**名無しさん＠１周年** · 2019/02/08(金) 10:03:46.17

>>1
いつも板でドヤ顔してるマカーか顔面蒼白するスレ

**名無しさん＠１周年** · 2019/02/08(金) 10:09:13.25

MSも林檎もOS開発やる気ないだろ
特にMS。オメーは世界最大シェア持ってるんだからちゃんと責任取れ

**名無しさん＠１周年** · 2019/02/08(金) 12:29:32.10

>>55
ガチガチの認証かけられるパスワード管理ツール使うのが一番安全
脆弱性があったら別だけどな

キーチェーンはだめや

**名無しさん＠１周年** · 2019/02/08(金) 12:40:31.61

キーチェーン使う方がめんどくさくて使ってないわ
一括管理ソフトやアプリにパスワードを預ける危険は冒したくない

**名無しさん＠１周年** · 2019/02/08(金) 12:51:07.64

エロキャプテンの俺勝利

**名無しさん＠１周年** · 2019/02/08(金) 13:57:27.42

>>1
悪質なハッカーが金払ったらそっちに情報を売るってことか・・・？
「じゃあ俺が買うわ」って高須克弥さんがポンと・・・

**名無しさん＠１周年** · 2019/02/08(金) 14:47:48.54

>>58
ポスト・イットが正しかったとは…

**名無しさん＠１周年** · 2019/02/08(金) 14:49:03.41

>>63
憶えてんないんですが…

**名無しさん＠１周年** · 2019/02/08(金) 14:58:44.49

>>51
とっくに漏れてる。やらかしてるからそれ・・・

**名無しさん＠１周年** · 2019/02/08(金) 18:36:19.04

>>50
うちは天才的な勘で人を害する母親によってメモ帳を消された

**名無しさん＠１周年** · 2019/02/09(土) 01:55:05.48

劣化が止まらない

**名無しさん＠１周年** · 2019/02/09(土) 03:14:18.04

マスターパスワード入れなくても盗めるって、データの暗号化の鍵をマスターパスワード依存にしてないってこと？
だったらリバースエンジニアリングで解読方法が分かっちゃうじゃないの。

**名無しさん＠１周年** · 2019/02/09(土) 03:20:16.61

マカーだけどキーチェーンつこうて無い罠www
付属のソフトなんか誰が信用すんの？

**名無しさん＠１周年** · 2019/02/09(土) 03:28:51.78

結構深刻だな

**名無しさん＠１周年** · 2019/02/09(土) 03:47:31.96

アップルはブランドの為に脆弱性を隠すから、穴を知ってるハカーのやりたい放題。

**名無しさん＠１周年** · 2019/02/09(土) 14:27:15.74

俺もマック歴長いけどキーチェーンは使ってない
もちろんApple Payも

**名無しさん＠１周年** · 2019/02/09(土) 15:10:54.77

>>9
性格破綻者のリーナス･トラブルといっしょにすんなw

**名無しさん＠１周年** · 2019/02/09(土) 15:13:58.36

>>63
ねらーがそれやると、空欄＋空欄＋774にしかならない。

**名無しさん＠１周年** · 2019/02/09(土) 22:29:33.30

懸賞金をつけたら安全でないイメージを抱かせるとかそんな理由だろうな

**名無しさん＠１周年** · 2019/02/10(日) 09:38:49.44

キーチェーン使ってるアホおるんw

**名無しさん＠１周年** · 2019/02/10(日) 18:21:39.17

これって、ログイン後の話じゃないの？

**名無しさん＠１周年** · 2019/02/10(日) 20:27:03.77

>>80
Apple Payはカード持ち歩くよりは安全なんだけどね。

**名無しさん＠１周年** · 2019/02/10(日) 21:14:09.86

>>86
クレカの方が安全っていう人ほんと多いからな

**名無しさん＠１周年** · 2019/02/10(日) 21:50:30.16

すげえなw
火付盗賊だ