macOS 再爆泄露加密文件 Bug!

关键时刻,第一时间送达!

本月初,来自 SecuRing 的安全研究员 Wojciech Regula 发布了一篇《Your encrypted photos revealed in macOS cache》博客文章,公布了 macOS 系统下的“Quick Look(快速查看)”功能存在安全漏洞,通过该漏洞,黑客可窃取用户加密磁盘上的隐私文件。此外,这个漏洞存在至少已有八年之久,Mac 用户尚未广泛知晓,且苹果公司目前也仍未修复该漏洞。

▌Quick Look 是什么?

想必使用 Mac 的用户应熟知该功能。Quick Look 是一个比较酷的功能,它是 Finder 文件浏览器的功能之一,可帮助用户在不打开照片、文档文件或文件夹的情况下快速地预览文件。例如对于 *xlsx 文件,只需按下空格键就可以预览,且无须安装 MSExcel 应用。

为了实现该功能,Quick Look创建了一个未加密的缩略图数据库,根目录为/var/folders/.../C/com.apple.QuickLook.thumbnailcache/,用于保存Quick Look为每个文件/文件夹生成的缩略图。

▌验证被忽视的 Bug

而就是这个缩略图数据库导致了此次的漏洞。即使最初的照片、文件、文件夹已经加密,但生成的缩略图仍可以在加密磁盘上提供内容预览。即使用户删除了相关的文件,由于用户已经在加密硬盘或 TrueCrypt/VeraCrypt 等加密工具中预览过了,那些文件也会产生缓存留在根目录中。由此,技术人员可以通过特殊的方法访问这些缩略图,macOS 也没有能删除缩略图的缓存自动清除功能。

为了检测是否真的存在漏洞,Regula 做了验证。

他安装了两个新的加密软件。一个使用 VeraCrypt 软件,保存一个名为 Luke Skywalker 的照片( 本地目录为 /Volumes/Container/luke-skywalker.png),按下空格键使得 Quick Look 生成缩略图。

另一个使用 macOS Encrypted HFS + / APFS 驱动器,保存一张名为 Darth Vader 的图片(本地目录为 /Volumes/EncryptedHDD/test/darth-vader.jpeg)。

基于以上,电脑中应该有两个图片的缓存文件。现在使用以下命令可以找到该文件:

现在将它们复制到其他位置:

打开 index.sqlite 来查找文件内容。

我们有关于完整路径和文件名的信息。 现在,让我们浏览 thumbnails.data 文件以检索缩略图。Regula使用了一个 Python 脚本(https://github.com/mdegrazia/OSX-QuickLook-Parser),稍作修改以提供 macOS 兼容性。

输出目录包含了预览的缩略图版本。

点击打开图片,确实是缩略图,原始版本的像素为 1920*1080,现在缩略图大小为 336*182。

足以确定可以看到加密的图片内容,不是吗?

▌对用户的影响

基于此,Digital Security 首席研究员 Patrick Wardle 也表示同样的担忧,“这个问题至少已有八年之久,然而,目前该漏洞仍存在于最新版本的 macOS 中,并且(尽管可能存在严重的隐私泄露)Mac 用户尚未广泛知晓。”

其安全漏洞对于执法人员来说,无疑提供了很好的便捷性。但是如果攻击者攻击正在运行的电脑系统,即使加密软件已经被卸载,文件的缩略图仍然会存储在用户电脑的临时目录中,这意味着通过缓存还是可以看到缩略图的内容,自然隐私就发生了泄露。

而对于该漏洞的解决方案,Wardle 认为,苹果公司本应该可以很容易解决这个问题,只要文件处于加密软件中,则不生成预览的缩略图,或者在卸载软件时删除缓存就可以解决。

▌写在最后

截止目前苹果公司并未对此漏洞进行修复,所以用户需要做的是在卸载加密软件的同时手动删除 Quick Look 缓存。最后,在该漏洞尚未带来过大影响之前,也希望用户自身可以提前做起预防措施,防范于未然。

参考

https://wojciechregula.blog/your-encrypted-photos-in-macos-cache/

https://thehackernews.com/2018/06/apple-macos-quicklook.html

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180619A1J6IT00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券