本日リリースされたmacOS High Sierraに、キーチェインに含まれたユーザー名やパスワードが漏洩する可能性がある脆弱性が存在する事がわかりました(MacRumors)。
脆弱性は特定のアプリを実行することで、macOS High Sierra(あるいはそれ以前のmacOS)から、マスターパスワードを必要とせずにプレインテキスト形式でユーザー名とパスワードを取得できるというもの。
過去NSAのアナリストとして働いたこともあるセキュリティ研究者Patrick Wardle氏が、脆弱性に関する情報をツイートし、デモ動画も作成しています。
今回の脆弱性を利用するためには、ユーザーが悪意のあるサードパーティアプリをダウンロードし実行する必要があります。Wardle氏は「keychainStealer」と呼ばれるアプリを作成し、TwitterやFacebook、Bank of Americaのプレインテキスト形式のパスワードを入手することに成功しています。アプリの実行にroot権限は必要なく、ユーザーがログインしていれば攻撃可能とのこと。
Wardle氏は実際の悪用可能なコードを公開しておらず、MacRumorsやその他サイトによるダブルチェックは行われていない状況です。
Appleのコメントはまだないようですが、脆弱性が本物ならば将来のアップデートで対応されるはず。それまでは、Mac App Storeや信頼できるサイトからのみアプリをダウンロードするという基本原則を守るよう注意しておいた方が良いかもしれません。
