Давний баг функции «Быстрый просмотр» (Quick Look) в macOS может раскрыть конфиденциальные файлы пользователей, такие как миниатюры фотографий и текст документов, даже на зашифрованных дисках, по словам исследователей безопасности.
Подробности об уязвимости «Быстрого просмотра» были опубликованы ранее в этом месяце исследователем безопасности Войцехом Регулой и на выходных в блоге исследователя безопасности Патрика Уордла (через The Hacker News).
«Быстрый просмотр» в macOS — это удобная функция Finder, предназначенная для отображения увеличенного вида при нажатии пробела на выделенном фото или документе.
Для обеспечения этой функции предварительного просмотра «Быстрый просмотр» создает незашифрованную базу данных миниатюр, где хранятся миниатюры файлов. База данных сохраняет предварительные просмотры файлов с накопителя Mac и любых подключенных USB-накопителей при каждом открытии папки. Эти миниатюры, которые предоставляют предварительный просмотр содержимого на зашифрованном диске, могут быть доступны человеку, обладающему техническими знаниями, и при этом отсутствует автоматическая очистка кэша, удаляющая их. Как поясняет Регула:
Это означает, что все фотографии, которые вы просмотрели с помощью пробела (или «Быстрый просмотр» закэшировал их самостоятельно), хранятся в этом каталоге в виде миниатюр и их путей. Они остаются там, даже если вы удалите эти файлы или если вы просматривали их на зашифрованном жестком диске или в контейнере TrueCrypt/VeraCrypt.
Эта проблема существует как минимум восемь лет, и в прошлом уже выражались опасения по этому поводу, но Apple не внесла никаких изменений в macOS для ее решения. «Тот факт, что это поведение по-прежнему присутствует в последней версии macOS, и (несмотря на потенциально серьезные последствия для конфиденциальности) оно не широко известно пользователям Mac, заслуживает дополнительного обсуждения», — пишет Уордл.
Как отмечает Уордл, эта информация ценна при расследованиях правоохранительных органов, но большинство пользователей не будут рады узнать, что их Mac записывает пути к файлам и миниатюры документов со всех устройств хранения, которые к нему подключались.
Для криминалистического расследования или шпионского внедрения эта информация может оказаться бесценной. Представьте себе историческую запись USB-устройств, файлов на устройствах и даже миниатюр файлов… все это хранится постоянно в незашифрованной базе данных, спустя долгое время после удаления (и, возможно, уничтожения) USB-устройств. Для пользователей вопрос заключается в следующем: «Действительно ли вы хотите, чтобы ваш Mac записывал пути к файлам и миниатюры ‘предварительного просмотра’ файлов с любого/всех USB-накопителей, которые вы когда-либо вставляли в свой Mac?» Я думаю, нет…
Стоит отметить, что если основной диск Mac зашифрован, то созданный кэш «Быстрого просмотра» также зашифрован. Уордл говорит, что данные «могут быть в безопасности» на выключенной машине, но на работающем Mac, даже если зашифрованные контейнеры размонтированы, функция кэширования может раскрыть их содержимое.
«Другими словами, повышенная безопасность, которую, как предполагалось, обеспечивают зашифрованные контейнеры, может быть полностью подорвана функцией ‘Быстрый просмотр'», — пишет Уордл.
Уордл рекомендует пользователям, обеспокоенным хранением незашифрованных данных, вручную очищать кэш «Быстрого просмотра» всякий раз при размонтировании контейнера; инструкции для этого доступны на сайте Уордла. Также стоит ознакомиться с сайтом Уордла для получения полной информации о баге «Быстрого просмотра».