キーチェーンの脆弱性

ドイツのセキュリティ研究者Linus Henze氏は今週、「KeySteal」と名付けられた新しいmacOSの脆弱性を発見しました

これは、キーチェーンアプリに保存されたすべての機密データにアクセスするために使用できます

Henze氏はこの脆弱性の詳細をAppleと共有しておらず、AppleにはmacOS用のバグバウンティプログラムがないため、リリースしないと述べています

同氏は、Appleは、発見者にお金を提供するiOS向け報酬プログラムを用意しているがmacOSのバグに対する同様の支払いシステムがないことから「このような脆弱性を見つけるには時間がかかる。研究者にお金を払うことは、Appleが自社製品のセキュリティを強化するのに役立つため、正しいことだと思う」としてAppleと共有していません

キーチェーンは、キーチェーンアプリケーションを開いてロックすることができますが、アプリケーションがキーチェーンにアクセスする必要があるたびに管理者パスワードを入力する必要があるため不便です

ZDNetによると、AppleのセキュリティチームはHenze氏に手を差し伸べているが、彼らがmacOSのためのバグ報奨金プログラムを提供しない限り、彼はさらなる詳細を提供することを拒否し続けています

Henze氏は「お金のためだけにこれをやっているように見えても、この場合、これはまったく私の動機ではなく、Appleにバグ報奨金プログラムを作成させることです、これは、Appleと研究者の両方にとって最良であると思います」と述べています

(Via Tom’s Guide.)