Quick Look は、Mac ユーザーが専用アプリを開かずにファイルを簡単にプレビューするために利用している主要機能ですが、何年も前のツールでは、暗号化されたドライブ上の機密情報が漏洩する可能性があります。
Quick Look には 10 年以上前にこの機能が導入されて以来存在していたと考えられるセキュリティ ホールが詳しく説明されました。今月初めセキュリティ研究者 Wojciech Regula 氏のブログ投稿でこう述べています。 Patrick Wardle 氏は、Regula 氏の協力を得て、ブログ エントリで欠陥について詳細に説明しました。先週それはによって拾われましたハッカーニュース 月曜日に。
Regula が指摘しているように、Apple の Quick Look メカニズムは、macOS から高速かつ簡単にアクセスできるように、ファイル、画像、フォルダー、その他のデータのサムネイルを生成してキャッシュします。これにより、Mac ユーザーはスペースバーをタップするだけで、その情報を素早くプレビューできるようになります。 PDF 用の Acrobat などの専用アプリに依存する代わりに、macOS は OS アセットを使用してファイルの「クイック ルック」を提供できます。
この問題は、最初にいくつか議論されましたが、8年前、Quick Look のファイル処理方法です。 Apple の機能では、サムネイル キャッシュが暗号化されていないドライブに保存されます。つまり、元のファイルのスニペットは、暗号化されたコンテナに含まれているものであっても、どこを探せばよいのかを知っている人に公開される可能性があります。
「これは、スペースを使用してプレビューした(または QuickLook が個別にキャッシュした)すべての写真が、ミニチュアとそのパスとしてそのディレクトリに保存されることを意味します」と Regula 氏は書いています。
彼の主張を検証するために、Regula は 2 つのイメージを 2 つの別々の暗号化コンテナーに保存する概念実証を作成しました。1 つは VeraCrypt で作成され、もう 1 つは macOS 暗号化 HFS+/APFS で作成されました。研究者は、簡単なコマンドで画像とそのパスの両方を見つけることができ、それによって元のファイルの縮小版へのアクセスが許可されました。
Wardle 氏は、Quick Look のキャッシュ機能は接続された USB ドライブにも拡張され、サムネイルはホスト コンピュータのブート ドライブに保存されると付け加えました。同氏はさらに、Quick Lookの欠陥は特定のファイルの内容全体を明らかにするものではないが、それが提供するものは、凶悪な行為者や法執行機関にとって有益である可能性があると主張した。
とはいえ、Apple がこの問題にパッチを適用するのは比較的簡単でしょう。 Wardle 氏が指摘しているように、Apple は Quick Look プレビューを暗号化されたコンテナの外側にあるファイルに委譲するか、あるいはボリュームがアンマウントされたときにサムネイル キャッシュをフラッシュする可能性があります。
公式修正がなければ、潜在的に機密データの公開を懸念するユーザーは、コンテナーがアンマウントされたときに、qlmanageユーティリティ。
