ってなことが昔あったんだけど
同じことがMacにも起きたらしい。
衝撃のニュース
先日、macOS の最新版 High Sierra に意図せずパスワードを表示してしまう脆弱性があるというニュースが流れた。
引用すると
新ファイルシステムのAPFS(Apple File System)を利用している環境で発生するもので、APFSのボリュームをマウントするさいに聞かれるパスワード確認のダイアログにて、パスワードのヒントボタンを押すと、ヒントの代わりにパスワードそのものが表示されてしまう。
とのこと。
いやいやいやいや...。
ヒントを教えてと頼んだら答えを言うって、うちの次女かいっ!
深刻な脆弱性なのに思わず笑ってしまった。
ちなみに、現在は修正パッチが配布されている。
実際に試してみよう!
我が家のMac、High Sierra はパッチを当てる前だったので試してみた。
まずは本体のMacintosh HD に暗号化したAPFSボリューム「test」を追加。
パスワードに「kaerupassword」
ヒントに「両生類です」
と入力する。
作成した「test」ボリュームをアンマウントしてからマウントすると、ロック解除用パスワードを聞かれるので、ヒントボタンを押す。
本来なら「両生類です」と表示されるところだが...。
ヒントに答えである「kaerupassword」が表示されてしまっている。
おいおい...。
修正パッチを当てた後は?
で、修正パッチをあてて再度マウントすると、ちゃんと「両生類です」と表示されると思いきや...。
なんとヒントボタンそのものがなくなった!?
この修正はどうなのよ??これじゃ最初にヒントを入力する意味ないじゃん...。
と思って、念のためもう一度APFSボリュームを作り直したら、
今度はきちんとヒントに「両生類です」と表示されました。
パッチをあてる前に作った暗号化APFSボリュームはヒントそのものが無効になる仕様のようだ。もしかして今回のバグは、APFSボリューム作成時に誤ってヒント項目にパスワードが書き込まれているために発生したのかもしれない。
さいごに
たまにOSでパスワード回避する方法が発見されたりするけど
さすがにこれはAppleのエンジニア頑張れ!
としか言いようがない。
High Sierra を使用している方は早めに修正パッチをあてましょう。