Apple macOS漏洞揭示了加密驱动器中敏感数据的缓存

本月早些时候，安全部门的安全研究员Wojciech Regula发表了一篇博文，介绍macOS中的“快速查看”功能，该功能可以帮助用户在不打开照片、文档或文件夹的情况下预览照片、文件或文件夹。

Regula解释说，Quick Look功能为每个文件/文件夹生成缩略图，使用户在打开文件之前可以方便地评估文件。

但是，这些缓存的缩略图存储在计算机的非加密硬盘驱动器上，位于已知且不受保护的位置，即使这些文件/文件夹属于加密容器，最终也会泄露存储在加密驱动器上的部分内容。

数字安全首席研究官帕特里克·沃德尔（Patrick Wardle）也有同样的担忧，他说这个问题早就为人所知，至少已经有八年了，“然而，行为仍然存在于最新版本的macOS中，而且（尽管可能有严重的隐私影响），Mac用户并不广泛了解这一事实，值得进一步讨论。”

为了证明他的说法，Regula创建了两个新的加密容器，一个使用VeraCrypt软件，另一个使用macOS加密的HFS+/APFS驱动器，然后在每个容器中保存了一张照片。

正如他在帖子中所解释的，在他的系统上运行了一个简单的命令之后，Regula能够找到两个图像的路径和缓存文件，这两个图像都留在了加密容器之外。

“这意味着你使用space（或Quicklook独立缓存）预览的所有照片都以缩影及其路径的形式存储在该目录中，”Regula说。

在另一篇博文中，Wardle展示了macOS对受密码保护的加密AFPS容器的行为相同，最终甚至将加密卷暴露在潜在的窥探之下。

沃德尔说：“如果我们卸载加密卷，文件的缩略图（如前所述）仍然存储在用户的临时目录中，因此可以提取。”。

“如果攻击者（或执法部门）有权访问正在运行的系统，即使卸载了受密码保护的加密容器（因此其内容是‘安全的’），此缓存‘功能’也会泄露其内容。”

Wardle还指出，如果你将USB驱动器与Mac电脑连接，系统将创建驻留在外部驱动器上的文件的缩略图，并将其存储在启动驱动器上。

Wardle认为，苹果可以很容易地解决这个问题，如果文件在加密容器中，就不生成预览，或者在卸载卷时删除缓存。

除非苹果将来解决这个问题，沃德斯建议用户在卸载加密容器时手动删除QuickLook缓存。