FileVault und QuickLook verlieren einige Informationen aus verschlüsselten Volumes in Mac OS

Wenn Sie FileVault und QuickLook auf einem Mac verwenden, möchten Sie vielleicht wissen, dass die Kombination der beiden möglicherweise vertrauliche Informationen aus verschlüsselten Datenträgern ausgibt.

Leser Jack R. schickte den folgenden Tipp ein und erklärte die Situation weiter:

Wenn FileVault und QuickLook gleichzeitig verwendet werden, werden Informationen darüber, welche Dateien auf dem verschlüsselten Volume gespeichert sind, verfügbar und auf Ihrer Festplatte vollständig unverschlüsselt. Dies liegt an QuickLooks Thumbnail-Caching, das im Verzeichnis / var / gespeichert ist.

Führen Sie den folgenden Befehl aus, um die Größe des QuickLook-Caches anzuzeigen, um das Potenzial zu veranschaulichen:

find /var/folders -name "*QuickLook*" -exec du -h {} \; 2>/dev/null

Das Worst-Case-Szenario ist die Möglichkeit, Dateinamen und sogar QuickLook-Miniaturansichten von Dokumenten und Bildern anzuzeigen. Es gibt auch eine SQLite-Datei mit dem Namen index.sqlite in den QuickLook-Cache-Verzeichnissen von / var / folders, die eine Liste von Dateinamen auf den verschlüsselten Volumes enthält.

Ob das ein legitimes Sicherheitsloch ist oder nicht, oder ob es etwas ist, um das ich ziellos besorgt bin, weiß ich nicht, aber ich wette, dass viele Leute davon nichts wissen!

Anmerkung des Herausgebers : Dies scheint definitiv ein Sicherheitsloch zu sein. Ich stelle mir vor, der beste Weg, um dieses Problem zu vermeiden, besteht darin, QuickLook nicht nur für die sensiblen verschlüsselten Daten zu verwenden, obwohl das eher ein Workaround als ein Fix ist. Vielleicht wird Mac OS X eventuell ein Sicherheitsupdate erhalten, um das Problem zu lösen.

Update 6/18/2018: Über 8 Jahre später existiert dieser Sicherheitsfehler unter MacOS / Mac OS X noch! Das sind die schlechten Nachrichten. Aber hier sind die guten Nachrichten; Der Sicherheitsforscher Patrick Wardle hat diesem Fehler einige neue Aufmerksamkeit geschenkt und wird daher wahrscheinlich in einem zukünftigen Software-Update repariert werden.

In der Zwischenzeit empfiehlt Wardle die folgende Befehlszeichenfolge, um den Schnellansicht-Cache zu löschen, der in das Terminal von MacOS / Mac OS X eingegeben werden kann:

qlmanage -r cache

Durch Ausführen dieses Befehls wird der Schnellansicht-Cache gelöscht. Halten Sie Ausschau nach zukünftigen Sicherheitsupdates und Software-Updates für Mac OS, da diese den Bug wahrscheinlich ein für allemal beheben.