Злоумышленник с root-доступом может извлечь учетные данные, просканировав память службы securityd. Это служба (демон), отвечающая за реализацию протоколов безопасности, в частности шифрования и авторизации. Получив привилегированный доступ, злоумышленник может просканировать память securityd в поисках последовательности ключей для расшифровки пользовательской связки ключей, используемой для входа. Таким образом он сможет получить все пароли в открытом виде — от учетных записей, Wi-Fi, почты, браузеров, сертификатов, защищенных заметок и так далее.

В OS X до версии El Capitan пользователи с root-правами могли получить пароли вошедших в систему пользователей, сохраненные в связке ключей, в открытом виде. Это связано с тем, что Apple позволяет кэшировать эти учетные данные, чтобы каждый раз не запрашивать у пользователей их повторный ввод. Утилита Apple securityd шифрует пароль пользователя для входа с помощью PBKDF2 и сохраняет этот мастер-ключ в памяти. Для шифрования пароля пользователя Apple использует набор ключей и алгоритмов, но, найдя мастер-ключ, злоумышленник сможет пошагово получить и все остальные ключи, а затем и сам пароль.