- Регистрация
- 30 Июн 2018
- Сообщения
- 2,003
- Реакции
- 722
- Репутация
- 16
ИБ-эксперты Патрик Вордл (Patrick Wardle) и Войцех Регула (Wojciech Reguła) предупреждают, что macOS незаметно создает и кеширует превью для изображений и других файлов, хранящихся на защищенных паролями и зашифрованных дисках и разделах. Затем эти превью сохраняются открыто, в известном месте, и могут быть похищены преступниками или использованы правоохранительными огранами.
Первым информацию о проблеме специалист SecuRing Войцех Регула. Он рассказал о потенциальной опасности функции , которая предлагает удобный предварительный просмотр содержимого изображений, документов и других файлов без необходимости их открывать. Для этого Quick Look создает превью файлов, увидеть которые можно выбрав файл и нажав пробел.
Проблема заключается в том, что созданные Quick Look превью сохраняются по адресу $TMPDIR/../C/com.apple.QuickLook.thumbnailcache/, вне зависимости от того, где расположены оригинальные файлы и защищены ли они паролем или шифрованием. Превью хранятся в системе даже после того, как оригинальные файлы были удалены, а диск давно размонтирован.
На публикацию Регулы главный исследователь Digital Security Патрик Вордл. Эксперт согласен со своим коллегой и пишет, что данная проблема представляет опасность. Но при этом Вордл замечает, что об этом недочете известно на протяжении как минимум восьми лет, и его неоднократно описывали и использовали специалисты и киберкриминалисты (, , ).
Первым информацию о проблеме специалист SecuRing Войцех Регула. Он рассказал о потенциальной опасности функции , которая предлагает удобный предварительный просмотр содержимого изображений, документов и других файлов без необходимости их открывать. Для этого Quick Look создает превью файлов, увидеть которые можно выбрав файл и нажав пробел.
Проблема заключается в том, что созданные Quick Look превью сохраняются по адресу $TMPDIR/../C/com.apple.QuickLook.thumbnailcache/, вне зависимости от того, где расположены оригинальные файлы и защищены ли они паролем или шифрованием. Превью хранятся в системе даже после того, как оригинальные файлы были удалены, а диск давно размонтирован.
Для борьбы с проблемой Вордл советует следующий способ. После размонтирования зашифрованного контейнера нужно выполнить две команды, очистив таким образом все созданные превью и перезагрузив устройство:
Мария Нефёдова