FileVault en QuickLook lekken wat informatie uit gecodeerde volumes in Mac OS

Als u FileVault en QuickLook op een Mac gebruikt, wilt u misschien weten dat de combinatie van deze twee gevoelige informatie uit gecodeerde volumes kan lekken.

Lezer Jack R. stuurde de volgende tip in en legde de situatie verder uit:

Wanneer FileVault en QuickLook gelijktijdig worden gebruikt, wordt informatie over welke bestanden op het gecodeerde volume zijn opgeslagen beschikbaar en volledig onversleuteld op uw harde schijf. Dit komt door de miniatuur caching van QuickLook die is opgeslagen in de map / var /.

Voer de volgende opdracht uit om de grootte van de QuickLook-cache te bekijken om het potentieel aan te tonen:

find /var/folders -name "*QuickLook*" -exec du -h {} \; 2>/dev/null

Het worstcasescenario is de mogelijkheid om bestandsnamen en zelfs QuickLook-miniaturen van documenten en afbeeldingen openbaar te maken. Er is ook een sqlite-bestand met de naam index.sqlite in de cache-directory / var / folders QuickLook met een lijst met bestandsnamen op de gecodeerde volumes.

Of dit een legitiem beveiligingslek is dat patchable is of dat het iets is waar ik me doelloos zorgen over maak, ik weet het niet, maar ik durf te wedden dat veel mensen dit niet weten!

Opmerking van de redacteur : dit lijkt absoluut een gat in de beveiliging. Ik kan me voorstellen dat de beste manier om dit probleem te omzeilen is om QuickLook gewoon niet te gebruiken voor de gevoelige gecodeerde gegevens, hoewel dat eerder een oplossing is dan een oplossing. Misschien krijgt Mac OS X uiteindelijk een beveiligingsupdate om het probleem op te lossen.

Update 18-08-2018: Meer dan 8 jaar later bestaat deze beveiligingsbug nog steeds in MacOS / Mac OS X! Dat is het slechte nieuws. Maar hier is het goede nieuws; security-onderzoeker Patrick Wardle heeft deze tekortkoming opnieuw onder de aandacht gebracht en zal daarom waarschijnlijk worden gepatcht in een toekomstige software-update.

In de tussentijd beveelt Wardle de volgende opdrachtreeks aan om de cache Quick Look te verwijderen, die kan worden ingevoerd in de terminal van MacOS / Mac OS X:

qlmanage -r cache

Als u die opdracht uitvoert, wordt de cache met Snelle weergave gewist. Houd beveiligingsupdates en software-updates voor Mac OS in de gaten, want deze bug zal waarschijnlijk voor eens en voor altijd worden opgelost.