De fout bestaat al tien jaar, maar vandaag kan je nog altijd de cache-functie misbruiken in macOS om gevoelige data te vinden. Zelfs geëncrypteerde data is niet veilig omdat de cache een thumbnail toont van je bestand met de eerste details zichtbaar.
Het zijn Patrick Wardle (Veiligheidsexpert bij Digita Security) en Wojciech Regula (Veiligheidsexpert bij SecuRing) die met hun blogpost de fout opnieuw kenbaar maken. MacOS cachet namelijk een thumbnail van elk bestand voor de Quick Look-functie. Hiermee kan je als gebruiker snel de inhoud zien van een bestand zonder het juiste programma te hoeven openen.
Grote thumbnails
Elke keer iemand iets opzoekt, bewaart macOS een thumbnail. Die bevat behoorlijk wat data zoals volledige naam van het bestand, plaats van opslag en een miniatuurbeeld. Zo heel miniatuur blijkt dat niet te zijn, want bijvoorbeeld een Excel-preview meet al snel 512 x 512 pixels. Daar kan behoorlijk wat waardevolle info in zitten. Hetzelfde geldt bij foto’s.
Nog straffer: wanneer je een usb-stick aansluit, kan je die data ook daarna nog gewoon opzoeken door de aanmaak van thumbnails. Zelfs geëncrypteerde schijven die je aansluit, krijgen een thumbnail bij elk bestand dat je opzoekt of wil openen. Het enige wat nodig is om aan deze data te kunnen, is fysieke toegang tot de Mac of malware die je toegang geeft tot de cache-map.
Goudmijn
Voor onderzoekers is deze ‘functie’ een absolute goudmijn. Zo krijgen ze een historisch overzicht van alle USB-toestellen, bestanden die erop stonden, en overal nog eens een kleine thumbnail. Alles wordt bewaard in een niet-geëncrypteerde database, lang nadat de USB-toestellen werden verwijderd.
De thumbnails worden bewaard in een SQLite database en blijven permanent op macOS staan. Tot nu toe heeft Apple hier niets tegen gedaan.
Je kan gelukkig de map met thumbnails en data eenvoudig verwijderen. Wie dat graag wil doen:
- $ rm -rf $TMPDIR/../C/com.apple.QuickLook.thumbnailcache
- $ sudo reboot
Wanneer de machine opnieuw opstart, wordt er een nieuwe map aangemaakt zonder cache-bestanden met thumbnails. Het spreekt voor zich dat die map opnieuw wordt gevuld van zodra je met macOS aan de slag gaat, dus vergeet zeker niet om bovenstaand commando regelmatig te gebruiken om je cache te wissen wanneer je met gevoelige data werkt.
18 minuten geleden
