システム管理者権限なしにキーチェーンからローカルに保存されたパスワードを盗むことが可能なmacOSのゼロデイ脆弱性「KeySteal」はキーチェーンのロックで対処できるようです。詳細は以下から。
18歳のドイツ人セキュリティ研究者Linus Henzeさんが公開した脆弱性「KeySteal」はシステム管理者の権限なしにmacOSのパスワードマネージャーである「Keychain」からパスワードをダンプできるというもので、
Got to play with @LinusHenze's 'KeySteal'. It's a lovely bug & exploit 😍😍
✅ works on macOS 10.14.3
✅ his payload dumps passwords, private keys, & tokensProtect yourself by:
🔐manually locking your keychain
🔐or setting a keychain-specific passwordhttps://t.co/K1hhjraH60— patrick wardle (@patrickwardle) 2019年2月6日
Linusさんは現在、この脆弱性の詳細を公開する代わりに、macOSでもiOSのよに脆弱性やバグの発見者に懸賞金(Bug Bounty Program)を支払うよう求めていますが、この脆弱性のオリジナルを考案したPatrick Wardleさんによると、KeyStealにはいくつかの予防策があるそうです。
Keychainのロック
KeyStealはAppleが現在公開している最新のmacOS 10.14.3 Mojaveでも利用可能でLinusさんが情報を公開しないため、いつ修正されるかは定かではありませんが、Patrickさんによると、この脆弱性はキーチェーンアクセスアプリで各キーチェーン項目をロックしておくことでKeyStealをブロックすることが可能で、
キーチェーン項目のロックの設定は項目(ログインやシステム)のコンテキストメニューから「キーチェーン”hoge”をロック」を選択するか、「キーチェーン”hoge”の設定を変更」で操作がない状態がxx分間続いたらロックまたはスリープ時にロックのオプションも選択できます。
また、キーチェーン項目の表示にはデフォルトでシステム管理者のパスワードが使用されますが、新たにキーチェーンを作成する場合はキーチェーンに固有のパスワードを設定できるので、気になる方は設定してみてください。
コメント
だからロックデフォでかけとけって言ってたのに。
Safariはかけるようにしたのにキーチェーンアクセスからは普通に見られるのは最高にマヌケな仕様だよ。
出た当初はそんな感じ。ウザかったから今のが俺は好きだけどwwセキュリティとプライバシにアクセス権限項目としてあるのがいいかな
キーチェーンロックで見れなくなるんかいっ。まあ、脆弱性といえば脆弱性だけど、なんだ。って感じ
そういえば、キーチェーンの各項目にアクセスコントロールがあったなと改めてみたら「いちいち」パスワードを求めるようにもできるようかな。使ったことないけど、ここを設定するのはパスワード求められてウザいときにしか使ったことないけどw
うまく機能しないことがある、または、項目ごとではなく(項目ごとはめんどくさいから)キーチェーンクにアクセスする自体をセキュリティとプライバシでがいいかな
実際に悪用されるケースを想定すると、
「Keychain内の各データを取得して、外部へ何らかの形で送信」する必要があるけども、
アウトバウンド対応のファイアウォールアプリで対応出来るね。
>アウトバウンド対応のファイアウォール
そもそもmacOSデフォルトのFirewallがこれできないっていうのは欠陥だと思う。