【マカー危機】AppleのmacOSに搭載のパスワード管理アプリケーション「キーチェーン」のパスワードを全て盗むことができてしまう脆弱性
■ このスレッドは過去ログ倉庫に格納されています
「キーチェーン」の全パスワード盗まれる恐れ
macOS Mojaveの未解決の脆弱性、研究者が報告
米AppleのmacOSに搭載されているパスワード管理アプリケーション
「キーチェーン」のパスワードを全て盗むことができてしまう脆弱性が
新たに見つかったとして、セキュリティ研究者がデモ用の動画を公開した。
セキュリティ研究者のリーナス・ヘンツェ氏は2019年2月3日のTwitterで、
macOS Mojaveまでのバージョンに存在する未解決の脆弱性を発見したと
報告し、YouTubeに投稿したデモ用の動画を紹介した。
この動画では、最新版のmacOS Mojave(10.14.3)で、コンセプト実証用の
アプリ「KeySteal」を使って、キーチェーンに登録されたパスワードを
盗む様子を示している。
macOS Mojaveでは通常、ユーザーがキーチェーンに登録されたパスワードを
表示させようとすると、キーチェーンのパスワードの入力を促すプロンプト画面が
表示される。しかしヘンツェ氏のコンセプト実証アプリでは、プロンプト画面が
表示されることなく、キーチェーンに登録されたパスワードを全て
抽出することができていた。
報道によると、ヘンツェ氏はこの脆弱性に関する詳細をAppleに提供して
いないという。その理由について、AppleがmacOSに関しては脆弱性の
発見者に賞金を支払うバグバウンティプログラムを設けていないことを挙げ、
Appleに対してiOSだけでなくmacOSもバウンティプログラムの対象と
するよう求めている。
macOSのキーチェーンを巡っては、過去にも別の研究者が同様の脆弱性を
指摘し、やはりAppleに対してmacOSのバグバウンティプログラム提供を
要望していた。
[鈴木聖子,ITmedia] 2019年02月07日 10時45分 公開
http://www.itmedia.co.jp/news/articles/1902/07/news072.html
※依頼あり
◆◆◆スレッド作成依頼スレ★1249◆◆
http://asahi.5ch.net/test/read.cgi/newsplus/1549429638/241 >>1
>KeySteal
このアプリはどこにあるの?(´・ω・`) リーナスさん…
ついにLinuxがMacを潰しにかかるのか Macならウイルス対策いらんとかドヤ顔だったスタバマカー死亡か > 過去にも別の研究者が同様の脆弱性を指摘
ま、信者しか使わないから脆弱性なんて無視でいいんだろうな こないだmac book pro 2018買ったばっかなのに... >>5
ダークウェブで約50$ぐらい売ってるやつじゃない? そんな事だろうと思って1パスワード系は使った事ない >>14
不思議とパスワードが集まるスレ みたいな パスワードを登録記録しておこうって発想自体が本末転倒ナンセンス >>25
おまえ
電子署名の秘密鍵とかアンキしてんの?w Appleなんか元々はダメダメで、一般的には信者にしか受け入れられてなかった
音楽、デザイン関連で仕方なく使うか、そっちにかぶれた意識高い系が使うくらい
Macが一般人に受け入れられたのはジョブズがAppleに戻って来た辺りからだ
初代iMacのカラーバリエーションに惹かれて、MacとPC/AT互換機の区別も付かずに買ってしまうアホが大量に湧いた
その辺りからお洒落なイメージが付いてiPod→iPhone→あiPadと定着して行った
だがジョブスが亡くなって以降、急速に元のダメダメAppleに戻りつつある
Appleがおかしくなってるんじゃなく、ジョブズがいた間のAppleがおかしかっただけ >>19
信仰が足りません
絶対神アポを信じるのです!
アポより賜りし究極の器物に欠陥など無いと唱え続けるのです!!!
さすれば、都合の悪い真実から目をそらし、ただただ絶対神アポのみを信じる心で満たされるのです!! >>27
スマートカードに入れて、PIN(パスワード)じゃね
スマートカードの表面に付箋紙でパスワードを書くまでが日常。
でも、なんでスマートカードって普及しないんだろうな macではよくあること
そういうの納得して使ってるんだからOK OSX 10.9.5で不便だから買い替えようと思っていたので
丁度いい機会だ >>35
まずappstoreの審査を通らないだろ。 元々キーチェーンなんて信用してないから、インスタとかツイッターとか、どうでも良いパスワードしか記憶させとらん。
しかし、ローカルにパスワード保存してるから、アップルに修理出す時、ドキドキだわ(笑) >>16
別にマックのセキュリティが高いのでは無くウイルス製作者がマックに眼中が無いから安全で無かった? >>39
ユーザー数の問題だよね
同じ労力をかけるなら、より使用台数の多い機種のウイルスを作った方が感染効率が上がるわけで >>14
こういうのに騙されてパスワード抜かれる奴が想像の100倍は居るんだろうな Windowsだったら即★5くらいまで逝くネタだよな パスワードを安全に管理するソフトで根こそぎ取られるとかアホ過ぎる…
やっぱパスワード管理は紙の手帳が最強だな 俺のLastpassのパスもいずれ全部お漏らしされちゃうんだろうな >AppleがmacOSに関しては脆弱性の発見者に賞金を支払うバグバウンティプログラムを設けていない
こっすいなApplewwwww
今までも相当脆弱性突かれてパス盗み放題だったんだろうなぁ パスワード管理アプリを押すサイトってほんと多いよな
でもパスワード管理用アプリって、
マスターパスワード1つを覚えて自分のPC内かクラウドでパスワードを管理するというものだからねぇ
漏れる時は漏れるわな
やはり面倒くさくてもパスワードや暗証番号は手帳などアナログなものに書いておくかするしかないのかな かつては(10.2.8ごろまで確認。それ以降は知らね)CD、DVDから起動するとパスワード設定のメニューが出たよねw
必死さがぜんぜん似合わないふんわかパソコンじゃったのぅ 現実と同様、キーチェーンを盗まれたら当然カギも思いのままということだな >>25
キャッシュカードの暗証番号じゃねーんだから。
オンライン銀行なんか、何だかんだのパスワード5,6個なんざザラ。
絶対覚えらんないわw 自分は中学の時好きだった子の電話番号、住所、身長体重、出席番号とかの組み合わせにして、
自分のメモには「体重住所と684」とか「電話番号逆から」とかメモしてる。
これだと人にメモ見られても絶対にわからなくて安全 >>61
付き合ってた彼女の名前+現嫁の名前+好きな数字とかなら覚えられるだろ iOSとかセキュリティ万全のイメージだが
現実は「サンデープログラマー(素人プログラマー)が作ったのか?」と
揶揄されるほどセキュリティホールの塊だからな。 >>1
いつも板でドヤ顔してるマカーか顔面蒼白するスレ MSも林檎もOS開発やる気ないだろ
特にMS。オメーは世界最大シェア持ってるんだからちゃんと責任取れ >>55
ガチガチの認証かけられるパスワード管理ツール使うのが一番安全
脆弱性があったら別だけどな
キーチェーンはだめや キーチェーン使う方がめんどくさくて使ってないわ
一括管理ソフトやアプリにパスワードを預ける危険は冒したくない >>1
悪質なハッカーが金払ったらそっちに情報を売るってことか・・・?
「じゃあ俺が買うわ」って高須克弥さんがポンと・・・ >>51
とっくに漏れてる。やらかしてるからそれ・・・ >>50
うちは天才的な勘で人を害する母親によってメモ帳を消された マスターパスワード入れなくても盗めるって、データの暗号化の鍵をマスターパスワード依存にしてないってこと?
だったらリバースエンジニアリングで解読方法が分かっちゃうじゃないの。 マカーだけどキーチェーンつこうて無い罠www
付属のソフトなんか誰が信用すんの? アップルはブランドの為に脆弱性を隠すから、穴を知ってるハカーのやりたい放題。 俺もマック歴長いけどキーチェーンは使ってない
もちろんApple Payも >>9
性格破綻者のリーナス・トラブルといっしょにすんなw >>63
ねらーがそれやると、空欄+空欄+774にしかならない。 懸賞金をつけたら安全でないイメージを抱かせるとかそんな理由だろうな >>80
Apple Payはカード持ち歩くよりは安全なんだけどね。 >>86
クレカの方が安全っていう人ほんと多いからな ■ このスレッドは過去ログ倉庫に格納されています