Securityd 内存

具有 root 访问权限的对手可能通过读取 securityd 的内存来收集凭证。securityd 是负责实现安全协议（如加密和授权）的服务/守护进程。(引用: Apple Dev SecurityD) 具有特权的对手可能能够扫描 securityd 的内存以找到正确的密钥序列来解密用户的登录钥匙串。这可能为对手提供各种明文密码，如用户、WiFi、邮件、浏览器、证书、安全笔记等的密码。(引用: OS X Keychain)(引用: OSX Keydnap malware) 在 El Capitan 之前的 OS X 中，具有 root 访问权限的用户可以读取已登录用户的明文钥匙串密码，因为 Apple 的钥匙串实现允许缓存这些凭证，以便用户不会反复提示输入密码。(引用: OS X Keychain)(引用: External to DA, the OS X Way) Apple 的 securityd 实用程序获取用户的登录密码，用 PBKDF2 加密，并将此主密钥存储在内存中。Apple 还使用一组密钥和算法来加密用户的密码，但一旦找到主密钥，对手只需迭代其他值即可解锁最终密码。(引用: OS X Keychain)