Експерти по сигурността разкриват детайли около дългогодишен бъг в macOS, който дава достъп до файлове, които се намират на криптирани дискове. Уязвимостта е във функцията Quick Look, чиято задача е да генерира предварителен преглед на файловете дори и когато те се намират на криптиран дял.
Проблемът идва оттам, че при активирането на Quick Look се създават предварителни прегледи за всички файлове, а тези прегледи се запазват на локация, където няма криптиране, което пък осигурява лесен достъп до тях, макар и те да са само част от оригиналния файл.
Специалистът по сигурността Wojciech Regula обяснява, че Quick Look е полезна функция, която с натискането на бутона спейс показва важна информация под формата на преглед от избран от потребителя файл, но въпреки това, че е полезна, тя представлява дупка в сигурността.
Той изтъква, че например за всички прегледани с Quick Look снимки, които са се намирали на криптиран дял, са създадени техни предварителни прегледи, които се складират в директория, в която няма криптиране и зложелател може много лесно да ги разгледа, въпреки че няма достъп до оригиналите.
Той дори показва как може да се експлоатира уязвимостта. Първо намира къде се съхраняват предварителните прегледи с командата:
CODE: Избери всички
$TMPDIR/../C/com.apple.QuickLook.thumbnailcache/
След това използва специален Python скрипт, който леко е модифицирал, за да създаде съвместимост с macOS. С този скрипт той екстрактва данните от прегледите (thumbnails.data) на две конкретни снимки и намира най-голямото запазено изображение, за да може да ги разгледа безпроблемно.
Въпреки че оригиналните изображения са били с резолюция 1920×1080, а намерените предварителни прегледи са с резолюция от едва 336×182, те могат да бъдат прегледани безпроблемно и всеки би могъл да резбере какво съдържат. В случая са снимки на Дарт Вейдър и Люк Скайуокър:
Regula обяснява, че тази техника е позната на властите и много често се използва от тях за извличане на информация при различни съдебни случаи. Той също е бил изненадан, че по толкова лесен начин могат да бъдат преглеждани файлове, които се намират на криптирани дискове и предупреждава потребителите да имат едно наум, когато използват Quick Look.
Друг експерт по сигурността – Patrick Wardle добавя още, че този проблем при macOS може да изкара на показ и файлове, които се намират на USB носители (флашки), защото предварителните прегледи на файловете от тези устройства се запазват на същото място като тези от снимките, споменати по-горе. След това те могат да бъдат преглеждани дори и когато USB устройството отдавна е извадено и не присъства физически в компютъра.
Специалистите казват, че този проблем съществува от няколко години и те са разтревожени от факта, че от Apple не му обръщат никакво внимание, а потребителите от своя страна не знаят за проблема и по този начин, мислейки си, че като криптират диска са защитени, те всъщност излагат файловете си на показ. От Apple дори нямат коментар по случая, което може би означава, че в скоро време няма да има кръпка, поправяща този проблем.
