on High Sierra (unsigned) apps can programmatically dump & exfil keychain (w/ your plaintext passwords)

9月26日(米国時間)、Threatpostに掲載された記事「macOS High Sierra Available—And Vulnerable to Keychain Attack|Threatpost|The first stop for security news」が、9月25日(米国時間)に公開されたmacOS High Sierraに重大な脆弱性が存在すると伝えた。この脆弱性を突くことで、パスワードやアカウント情報を保管する「キーチェーンアクセス」からパスワードをプレーンテキストの状態でダンプすることが可能だと指摘している。

Synackのチーフセキュリティ研究者のPatrick Wardle氏は9月初旬の段階でこの脆弱性を発見しAppleへ報告するとともに、同社のブログにその内容を紹介している。しかし、Appleはこの脆弱性を修正する前にリリースを実施したようだと指摘している。キーチェーンアクセスからパスワードを抜き出す様子は動画で公開されている。

キーチェーンアクセスの管理するパスワードをダンプするアプリケーション

ダンプされたパスワードデータ

攻撃方法の詳細については明かされていないが、ある程度の情報はPatrick Wardle氏の公開したMr. Steal Yo Keychainにまとまっている。今後のアップデートで対象の脆弱性が修正されることが期待されており、アップデートが提供された場合は迅速に適用することが望まれる。