2015年7月6日月曜日

キーチェーンアクセスの脆弱性(XARA)

MacではGoogle Chromeで入力したパスワードを保存すると、Google Chromeの設定ファイルではなく、キーチェーンアクセスに保存される。Google Chromeでパスワードを表示するためには、キーチェーンアクセスのパスワード、つまりユーザーアカウントのパスワードが必要になる。
一方Windowsではどうなっているかと言うと、8.1ではGoogle Chromeで保存したパスワードを表示するためにはユーザーアカウントのパスワードが必要だが、XPでは認証なしで見えてしまう。
だから、WinXPでもGoogle Chromeを使う場合、折角Mac側でキーチェーンアクセスに保存したパスワードが丸見えになってしまうので、Googleアカウントでパスワードを同期しないほうが良いと思うという趣旨の記事を書こうとしていた…。

ところがだ…。

パスワードについて調べているときに、信頼の拠り所だったキーチェーンアクセスに脆弱性があるという記事を見つけた。(英語の記事はこちら
問題の根は深いようで、Apple側の要請で公開を6ヶ月待って欲しいと言われたものの、期限を過ぎてもAppleが無回答(!)だったために公開されたらしい。(英語版より)
この研究でGoogle Chromeのパスワードが全て読み出せた(英語版より)とあるが、Mac版Google Chromeのパスワード管理の仕組みからも納得できる。

さらに恐ろしいのは、Mac App Store(iOSはApp Store)の審査を、この脆弱性を利用してパスワードを盗むアプリが通過できたことである。

まさにどうなっちゃてるの? Apple!?という気分である。Apple Musicなどに浮かれている場合ではない!

AppleもWindows同様に脆弱性があるようになったのだろうか? しかし、Windowsは月1回脆弱性を修正するアップデートを配布している。それに対してAppleは放置である。なかなか素晴らしい顧客を舐めきった態度ではあるまいか?

どうやら真剣にMacからWindowsへ移行する準備をする時期が来たのかも知れない。あるいは、もう少し様子見をするならばキーチェーンアクセスにパスワードを保存しないようにするなどの対策が必要なように思う。

最後に、例によってフィードバック窓口へのリンクを書いておく。より多くのユーザーが改善を要望すれば、Appleが問題を改善する気になる可能性もゼロではないと(半信半疑だが)信じている。

0 件のコメント :

コメントを投稿