ドイツのセキュリティ研究者であるLinus Henze氏が「KeySteal - Stealing your keychain passwords on macOS Mojave - YouTube」において紹介した「KeySteal」と呼ばれるアプリケーションが注目を集めている。

このアプリケーションはmacOSに存在しているとされるゼロデイの脆弱性を突いてキーチェーンアクセスに保存されているパスワードを窃取することを可能にするもの。公開された動画では、KeyStealを実行することで、パスワードを入力することなくキーチェーンアクセスに保存されているパスワードが表示されていることを確認できる。

  • KeySteal - Stealing your keychain passwords on macOS Mojave - YouTube

    KeySteal - Stealing your keychain passwords on macOS Mojave - YouTube

  • KeyStealと呼ばれるアプリケーションが動作しているサンプル

    KeyStealと呼ばれるアプリケーションが動作しているサンプル

Linus Henze氏はKeyStealが用いるゼロデイの脆弱性に関してAppleと情報共有を行っていないと説明している。その理由は、AppleがmacOS向けのバグ報奨金プログラムを実施していないためとしており、バグ報奨金プログラムを実施することを促すために情報の共有を行わないという意向を示している。

バグ報奨金プログラムは世界中のセキュリティ研究者が脆弱性を発見する大きな動機になっており、実際に多くの脆弱性がバグ報奨金プログラムによって発見されている。

キーチェーンアクセスに脆弱性が存在するという話は今回が初めてではなく、以前にも類似の脆弱性が発見されている。今回、取り上げている脆弱性は以前に発見された脆弱性とは別物だという。

キーチェーンアクセスはパスワードを統合的に管理する方法として使われており注意が必要。本稿執筆時点では、Appleからこの脆弱性に関する発表などは行われておらず、今後の動向が注目される。