ロジャー・フィンガス
· 1分で読めます
AppleのmacOS High Sierraには、アプリがキーチェーンのパスワードを平文で発見できる脆弱性が存在するが、被害者は組み込みのセキュリティを意図的に無効にする必要があると研究者が月曜日に指摘した。
Synackのリサーチディレクター、パトリック・ウォードル氏が開発した非公開のコンセプトアプリは、この脆弱性を悪用し、Facebookやバンク・オブ・アメリカなどのウェブサイトのログイン情報を盗み出すことに成功しました。フォーブス誌のインタビューでウォードル氏は、この脆弱性はユーザーがログインしている限り有効であり、ルートアクセスは必要ないと述べています。
しかし、このコンセプト アプリでは、署名のないソフトウェアを信頼することに関する警告など、macOS のセキュリティ設定を意図的に無効にしながら、ダウンロード、インストール、実行することが求められます。
ウォードル氏はその後、macOSの他のバージョンも同様に危険にさらされているとコメントした。
High Sierraは本日無料アップデートとしてリリースされましたが、ベータ版として数ヶ月間運用されていました。そのため、セキュリティ問題が本日発見されたのか、それとも以前から発見されていたのかは不明です。また、AppleはForbesのコメント要請に回答しなかったため、同社が修正に取り組んでいるかどうかは不明です。
