ドイツのセキュリティ研究者Linus Henzeが今週、macOSのキーチェーンに関するゼロデイ脆弱性を発見し、デモ動画をインターネット上に公開していることがわかりました(MacRumors)。
"KeySteal"と名付けられたこの脆弱性は、キーチェーンアプリに保存された機密情報を悪意のあるアプリを使用して、管理者権限や管理者パスワードを入力することなく抽出可能というものです。
動画ではデモアプリが、通常キーチェーンに保存された機密情報を表示する際に必要なキーチェーンパスワードを入力することなく、機密情報を取得している様子が確認できます(Facebookのパスワードなど)。
通常このような脆弱性は、ソフトウェアの開発元に事前に連絡され、修正の目処がたってから詳細が公開されることが多いのですが、現時点でHenze氏は脆弱性の詳細をAppleと共有していないそうです。理由はバグ報奨金プログラムがmacOSに存在しないためで、Henze氏は脆性を見つけるには時間がかかり、研究者に報酬を支払うのは正当で、Appleが製品のセキュリティを強化するのに役立つはずだとバグ報奨金プログラムの設立を訴えています。
Appleのバグ報奨金プログラムはiOSには存在するものの、macOSには設定されておらず、iOSに関しても他社の同種のプログラムと比較すると金額が少ないことから批判を受けています。現在この脆弱性が悪用された形跡はないとのことですが、大きな騒動になる前に修正されることを期待したいと思います。
