ИБ-эксперты Патрик Вордл (Patrick Wardle) и Войцех Регула (Wojciech Reguła) предупреждают, что macOS незаметно создает и кеширует превью для изображений и других файлов, хранящихся на защищенных паролями и зашифрованных дисках и разделах. Затем эти превью сохраняются открыто, в известном месте, и могут быть похищены преступниками или использованы правоохранительными огранами.
Первым информацию о проблеме обнародовал специалист SecuRing Войцех Регула. Он рассказал о потенциальной опасности функции Quick Look, которая предлагает удобный предварительный просмотр содержимого изображений, документов и других файлов без необходимости их открывать. Для этого Quick Look создает превью файлов, увидеть которые можно выбрав файл и нажав пробел.
Проблема заключается в том, что созданные Quick Look превью сохраняются по адресу $TMPDIR/../C/com.apple.QuickLook.thumbnailcache/, вне зависимости от того, где расположены оригинальные файлы и защищены ли они паролем или шифрованием. Превью хранятся в системе даже после того, как оригинальные файлы были удалены, а диск давно размонтирован.
На публикацию Регулы обратил внимание главный исследователь Digital Security Патрик Вордл. Эксперт согласен со своим коллегой и пишет, что данная проблема представляет опасность. Но при этом Вордл замечает, что об этом недочете известно на протяжении как минимум восьми лет, и его неоднократно описывали и использовали специалисты и киберкриминалисты (1, 2, 3).
«Тот факт, что подобное поведение все еще присутствует в новых версиях macOS, не является общеизвестным среди пользователей Mac, хотя это потенциально может привести к серьезным проблемам с безопасностью», — пишет эксперт.
Для борьбы с проблемой Вордл советует следующий способ. После размонтирования зашифрованного контейнера нужно выполнить две команды, очистив таким образом все созданные превью и перезагрузив устройство:
$ rm -rf $TMPDIR/../C/com.apple.QuickLook.thumbnailcache
$ sudo reboot
