macOS 再爆泄露加密文件 Bug！

關鍵時刻，第一時間送達！

本月初，來自 SecuRing 的安全研究員 Wojciech Regula 發布了一篇《Your encrypted photos revealed in macOS cache》博客文章，公布了 macOS 系統下的「Quick Look（快速查看）」功能存在安全漏洞，通過該漏洞，黑客可竊取用戶加密磁碟上的隱私文件。此外，這個漏洞存在至少已有八年之久，Mac 用戶尚未廣泛知曉，且蘋果公司目前也仍未修復該漏洞。

▌Quick Look 是什麼？

想必使用 Mac 的用戶應熟知該功能。Quick Look 是一個比較酷的功能，它是 Finder 文件瀏覽器的功能之一，可幫助用戶在不打開照片、文檔文件或文件夾的情況下快速地預覽文件。例如對於 *xlsx 文件，只需按下空格鍵就可以預覽，且無須安裝 MSExcel 應用。

為了實現該功能，Quick Look創建了一個未加密的縮略圖資料庫，根目錄為/var/folders/.../C/com.apple.QuickLook.thumbnailcache/，用於保存Quick Look為每個文件/文件夾生成的縮略圖。

▌驗證被忽視的 Bug

而就是這個縮略圖資料庫導致了此次的漏洞。即使最初的照片、文件、文件夾已經加密，但生成的縮略圖仍可以在加密磁碟上提供內容預覽。即使用戶刪除了相關的文件，由於用戶已經在加密硬碟或 TrueCrypt/VeraCrypt 等加密工具中預覽過了，那些文件也會產生緩存留在根目錄中。由此，技術人員可以通過特殊的方法訪問這些縮略圖，macOS 也沒有能刪除縮略圖的緩存自動清除功能。

為了檢測是否真的存在漏洞，Regula 做了驗證。

他安裝了兩個新的加密軟體。一個使用 VeraCrypt 軟體，保存一個名為 Luke Skywalker 的照片（ 本地目錄為 /Volumes/Container/luke-skywalker.png），按下空格鍵使得 Quick Look 生成縮略圖。

另一個使用 macOS Encrypted HFS + / APFS 驅動器，保存一張名為 Darth Vader 的圖片（本地目錄為 /Volumes/EncryptedHDD/test/darth-vader.jpeg）。

基於以上，電腦中應該有兩個圖片的緩存文件。現在使用以下命令可以找到該文件：

現在將它們複製到其他位置：

打開 index.sqlite 來查找文件內容。

我們有關於完整路徑和文件名的信息。 現在，讓我們瀏覽 thumbnails.data 文件以檢索縮略圖。Regula使用了一個 Python 腳本（https://github.com/mdegrazia/OSX-QuickLook-Parser），稍作修改以提供 macOS 兼容性。

輸出目錄包含了預覽的縮略圖版本。

點擊打開圖片，確實是縮略圖，原始版本的像素為 1920*1080，現在縮略圖大小為 336*182。

足以確定可以看到加密的圖片內容，不是嗎？

▌對用戶的影響

基於此，Digital Security 首席研究員 Patrick Wardle 也表示同樣的擔憂，「這個問題至少已有八年之久，然而，目前該漏洞仍存在於最新版本的 macOS 中，並且（儘管可能存在嚴重的隱私泄露）Mac 用戶尚未廣泛知曉。」

其安全漏洞對於執法人員來說，無疑提供了很好的便捷性。但是如果攻擊者攻擊正在運行的電腦系統，即使加密軟體已經被卸載，文件的縮略圖仍然會存儲在用戶電腦的臨時目錄中，這意味著通過緩存還是可以看到縮略圖的內容，自然隱私就發生了泄露。

而對於該漏洞的解決方案，Wardle 認為，蘋果公司本應該可以很容易解決這個問題，只要文件處於加密軟體中，則不生成預覽的縮略圖，或者在卸載軟體時刪除緩存就可以解決。

▌寫在最後

截止目前蘋果公司並未對此漏洞進行修復，所以用戶需要做的是在卸載加密軟體的同時手動刪除 Quick Look 緩存。最後，在該漏洞尚未帶來過大影響之前，也希望用戶自身可以提前做起預防措施，防範於未然。

參考

https://wojciechregula.blog/your-encrypted-photos-in-macos-cache/

https://thehackernews.com/2018/06/apple-macos-quicklook.html

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！