Bug of feature? macOS lekt inhoud versleutelde bestanden

Door: Jan de Raab - 8 reacties

Een van de handigste functie van macOS is snelle weergave, ook wel bekend als Quick Look. Je bekijkt er in Finder een bestand mee zonder het feitelijk te openen. Het werkt heel eenvoudig: je selecteert het gewenste bestand en klikt op de spatiebalk. That’s all.

Onderzoekers hebben echter ontdekt dat dit de veiligheid van de bestanden niet ten goede komt. Dit is met name het geval bij versleutelde bestanden. De inhoud van die bestanden wordt door de snelle weergave van macOS gelekt.

Inhoud versleutelde bestanden in cache

Dat komt omdat Quick Look-functie een database aanmaakt om een voorvertoning van de bestanden te cachen. Zo openen ze nog sneller, maar komt een klein deel van de inhoud wel onversleuteld op straat te liggen. macOS maakt van ieder versleuteld bestand een thumbnail aan van 336×182 pixels die eenvoudig terug te vinden is. Voor complete tekstdocumenten niet zo’n probleem, maar een foto van je ex kan zelfs op dat kleine formaat al onthullend zijn. Ook tekstbestanden kunnen dan bekeken worden op voorwaarde dat het lettertype groot genoeg is. Overigens is dat niet het enige, ook de bestandslocatie is zichtbaar.

macOS snelle weergave cache
Klik/tap voor groter.

De vraag is of dit een bug of een functie is. Aan de ene kant is het logisch dat de inhoud van Quick Look in een cache geplaatst wordt, maar aan de andere kant moet Apple dit bij versleutelde bestanden niet doen. Het zou ons niet verbazen als opsporingsinstanties deze bug/feature al gretig gebruiken.

De oplossing

Het frappante is dat dit ook mogelijk is met het nieuwe APFS-bestandssysteem. Dit is juist ontwikkeld om een grote mate van veiligheid en versleuteling te bieden. Mocht je echt gevoelig materiaal op een versleutelde schijf hebben staan, dan kun je de map ‘com.apple.QuickLook.thumbnailcache’ opzoeken en verwijderen. Waar de map precies opgeslagen is, kun je met de terminal achterhalen. Geef hier het volgende commando:

sudo find /var/folders/ -name com.apple.QuickLook.thumbnailcache

Vervolgens krijg je een lijst met mappen die de cache bevatten. Die kun je verwijderen met door het commando rm -rf te geven en daarachter het pad naar de map te plaatsen, een voorbeeld:

rm -rf /var/folders//6x/k5l2pzws6j1dgg5smslfytsm0000gn/C/com.apple.QuickLook.thumbnailcache

Objective See

Reacties

8 reacties
  • Profielfoto
    aaa

    Haal dat rm commando weg aub, daarmee kan iemand die niet weet wat hij aan het doen is zijn hele Mac om zeep helpen.

  • Profielfoto
    Livonias

    aaa op 20 juni 2018 12:24
    Haal dat rm commando weg aub, daarmee kan iemand die niet weet wat hij aan het doen is zijn hele Mac om zeep helpen.

    Dan moeten ze het niet gebruiken;-) iets met eigen verantwoordelijkheid

  • Profielfoto
    Maikelw

    Is me vroeger ook al eens gebeurd, werden er thumbnails uitgewisseld waardoor er ipv foto’s, gedetailleerde thumbnails van mn mapje rekeningen zichtbaar waren. (Maar wel in een groter thumbail formaat dan 336, das wel klein)

  • Profielfoto
    Tegenwind

    In principe moet iemand dus al toegang hebben tot je systeem om dit enigszins bruikbaar te maken. En als je een versleutelde harddisk / usb stick hebt lijkt het me aannemelijk dat je je opstartvolume ook wel hebt versleuteld met FileVault, waardoor deze thumbnails dus ook versleuteld zijn.

    Nu zijn er sinds 10.13 uiteenlopende beveiligingslekken voorbij gekomen, maar als ik dit zo lees is dit er niet echt een van.

  • Profielfoto
    Sjakelien

    Ik zou niet weten hoe je dit als feature kan uitleggen. Het is een relatief eenvoudig te verhelpen bug

  • Profielfoto
    JohnDillinger

    @Sjakelien: wat Tegenwind terecht opmerkt is dat dit geen enkel probleem vormt als je je opstartschijf versleuteld hebt. En Quick Look is er juist voor het gemak. De enige werkelijke oplossing tegen deze bug zou zijn om je elke keer te laten inloggen voor de preview van een versleuteld bestand. Maar dat haalt het gebruiksgemak wel heel erg onderuit. Persoonlijk zou ik het terecht vinden als Apple dit afdoet als een probleem dat te verhelpen is door FileVault aan te zetten op je opstartschijf.

  • Profielfoto
    Jakko Westerbeke

    Livonias op 20 juni 2018 12:35

    aaa op 20 juni 2018 12:24
    Haal dat rm commando weg aub

    Dan moeten ze het niet gebruiken;-) iets met eigen verantwoordelijkheid

    Met die logica hoef je nooit ergens veiligheidsmaatregelen te plaatsen. „Hij viel van de Domtoren af omdat er geen hek is bovenaan? Tja, had hij maar niet zo dicht bij de rand moeten gaan staan … Eigen verantwoordelijkheid.”

  • Profielfoto
    Pjotr

    @Jakko

    Helemaal mee eens.

    Eigen verantwoordelijkheid heeft ook grenzen. Zeker wanneer je als blinde op die toren staat.

    Wanneer 95% van de mensen niet geschoold is in code, zijn zij net zo blind.