前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >快讯 | macOS的快速浏览缓存可能会泄露加密数据

快讯 | macOS的快速浏览缓存可能会泄露加密数据

作者头像
FB客服
发布2018-07-30 17:06:13
5770
发布2018-07-30 17:06:13
举报
文章被收录于专栏:FreeBuf

macOS的快速浏览机制允许用户在不需要实际打开文件的情况下查看文件的内容,但研究人员Wojciech Reguła表示,这个功能很可能泄露缓存文件的信息,即使文件存储在加密驱动器或文件已被删除也无法保证数据的安全。

根据苹果提供的信息,快速浏览功能允许类似Finder和Mail之类的App显示文件内容的缩略图,甚至还可以直接查看Keynote、Numbers、Pages、PDF文档、图片以及其他类型文件的完整内容。

快速浏览功能是以com.apple.quicklook注册的,而其中的ThumbnailsAgentXPC服务能够创建缩略图数据库并将其存储在/var/folders/…/C/com.apple.QuickLook.thumbnailcache/目录之中。

而现在的问题就在于,无论文件夹存储在内部驱动器还是外部驱动器中,这个服务都会对可访问文件夹内所有支持的文件创建缩略图,而且这个功能同样适用于macOS中HFS+/APFS加密驱动器。因此,根据用户所安装的快速浏览插件,com.apple.QuickLook.thumbnailcache/目录中所存储的SQLite数据库文件将包含可访问文件夹内所有的文件预览信息、元数据、图片文件路径和其他类型的文件。需要注意的是,该功能不仅会对用户选择快速预览的文件创建缩略图,它还会对文件夹内所有支持的文件创建缓存内容。

为了对漏洞进行演示,Regula创建了一个VeraCrypt容器,加载并在其中存储了一张图片,然后利用快速浏览功能创建了该图片的缓存文件。接下来,他还在macOS HFS+/APFS加密驱动器中存储了另一张文件,并创建了相应的缓存文件。创建完成之后,文件路径和文件名称等图片缓存信息都将存储在之前所提到的数据库中。接下来,研究人员使用了一个自制脚本提取出了thumbnails.data文件,并获取到了缩略图信息。

Regula表示:“这项技术在数据取证领域中早已是“家喻户晓”了,但我个人却是才发现的。对我来说,我不能理解为什么存储在加密容器中的文件也会使用这样的机制来进行缓存。当我们在容器中创建一个文件之后,系统会自动对文件的缩略图创建缓存,即使用户只是在UI界面中查看容器内容。值得一提的是,这种技术还适用于采用了密码保护的加密AFPS容器。”

即使加密卷没有加载,其中的文件缩略图仍然会存储在临时目录中,这也就意味着这部分内容是可以被提取出来的。除此之外,该功能还会对用户插入到Mac电脑上的U盘文件创建缓存缩略图。

当主驱动器被加密之后,在电脑关闭的情况下数据仍然是安全的,但是如果攻击者或执法部门能够访问目标系统,即使是在加密驱动器没有被加载的情况下其中的数据仍然可以被获取到。

当然了,大家可以使用qlmanage -r cache命令来清除缓存内容,而且这个命令的生效不需要用户重启系统。

* 参考来源:securityweek,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2018-06-22,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
对象存储
对象存储(Cloud Object Storage,COS)是由腾讯云推出的无目录层次结构、无数据格式限制,可容纳海量数据且支持 HTTP/HTTPS 协议访问的分布式存储服务。腾讯云 COS 的存储桶空间无容量上限,无需分区管理,适用于 CDN 数据分发、数据万象处理或大数据计算与分析的数据湖等多种场景。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档