少なくともmacOS 10.14.1までのMojaveにはスクリーンロック解除時にパスワードの入力をしなくても、ロック前の画面が表示されてしまう不具合があるもよう。

　少なくともmacOS 10.14.1までのMojaveにはスクリーンロック解除時にパスワードの入力をしなくても、ロック前の画面が表示されてしまう不具合があるそうです。詳細は以下から。

　AppleはWWDC 2018でも発表されたとおり、2018年09月にリリースした「macOS 10.14 Mojave」でログインウィンドウを刷新し、以前と比較して大きくなったアバター表示とダイナミックデスクトップをサポートしましたが、macOSのスクリーンロックにも利用されているこのログインウィンドウにはパスワードの入力なしに、ロック前の画面が一瞬だけ表示されてしまう不具合があるそうです。

In this blog post we will show you a glitch ( or a vulnerability) we have discovered in the lock screen of macOS Mojave 10.14.1 that allows a physical attacker to snoop on what’s behind the lock screen.

Physical Security： Apple macOS Mojave screen lock glitch leaking the secrets behind it! – Seekurity Blog

　この問題を報告しているメキシコSeekurity Inc.のセキュリティ研究者Mohamed A. Basetさんによると、少なくともmacOS Mojave 10.14.1のスクリーンロック機能には、以下の動画18秒辺りのようにロック解除時に一瞬だけロックされた時点での画面が表示されてしまう不具合が確認されているそうで、

現在この不具合が確認できたMacBookが壊れてしまい追試できなくなっているそうですが、MohamedさんはMacをロックする際には重要なウィンドウは開かず、DNDなどのアクセス通知アプリを使用することを勧めています。

おまけ

　この不具合はロック前の画面が表示されてしまうというものですが、2017年にリリースされた「macOS 10.13 High Sierra」のスクリーンロック機能には、ロック画面中にロックしたはずのMacにアクセスできてしまう不具合があり、

ログインウインドウ

• 対象 OS：macOS High Sierra 10.13
• 影響：画面のロックが予期せず解除されたままになる場合がある。
• 説明：ステートの検証を強化し、ステート管理の脆弱性に対処しました。
• CVE-2017-13907：匿名の研究者

macOS High Sierra 10.13.1、セキュリティアップデート 2017-001 Sierra、セキュリティアップデート 2017-004 El Capitan のセキュリティコンテンツについて – Apple サポート

Appleはこの不具合をmacOS High Sierra 10.13.1で修正しましたが、この不具合により自身のパスワードをSlackでチーム共有してしまうというアクシデントも発生していたので、重要なファイルやメールを表示したままMacをスクリーンロックするのは危険かもしれません。

• Physical Security： Apple macOS Mojave screen lock glitch leaking the secrets behind it! – Seekurity Blog