日本時間9月26日未明に配信されたmacOS High Sierraに、セキュリティ上の脆弱性があり、Keychainに保存されているユーザー名とパスワードの情報が盗み出される危険性がある、とセキュリティの専門家が警鐘を鳴らしています。
Mac App Store以外から入手のアプリからログイン情報が漏れる?
公開されたばかりのmacOS High Sierraのセキュリティ上の脆弱性について、アメリカ国家安全保障局(NSA)に勤務した経験も持つセキュリティアナリストの、パトリック・ウォードル氏が、注意を促しています。
同氏が指摘する問題は、Mac App Store以外からダウンロードされた、発行元の不明なサードパーティ製アプリがインストールされたMacで発生します。
アプリに埋め込まれた悪意のあるコードによって、Keychainに保存されたユーザー名とパスワードがプレーンテキストで表示させられる脆弱性があります。危険性の検証動画ではTwitterやFacebook、Bank of Americaのログイン情報が表示されています。
on High Sierra (unsigned) apps can programmatically dump & exfil keychain (w/ your plaintext passwords)??? vid: https://t.co/36M2TcLUAn #smh pic.twitter.com/pqtpjZsSnq
— patrick wardle (@patrickwardle) 2017年9月25日
macOS High Sierraより前のバージョンで同様の危険性も
ウォードル氏は脆弱性をつくコードの詳細について、悪用される危険性を考慮して公開していませんが、「Appleは将来のアップデートでこの脆弱性に対応するはずだ」、とコメントしています。
米メディアMacRumorsは、今回指摘されている脆弱性はmacOS High Sierraだけでなく以前のバージョンでも同様の可能性がある、として、Mac App Store以外から、発行元の怪しいアプリをダウンロードしないよう、注意を呼びかけています。
Source: MacRumors
(hato)