A comienzos de mes, el investigador Wojciech Regula de SecuRing publico en un blog, sobre Quick Look, una característica que ayuda a los usuarios a pre-visualizar fotos, documentos o carpetas sin la necesidad de abrirlos.
Regula explica que la característica de QuickLook ayuda a los usuarios a decidir mediante Thumbnail si debe o no aperturar el archivo, esto mediante imágenes en miniatura de los documentos, carpetas o imágenes.
El problema de esta característica, es que estas imágenes de Thumbnails, se almacenan en un sector no seguro del disco, esto implica que estos archivos pueden ser vistos o revisados incluso si el disco duro esta encriptado.
Patrick Wardle, director de investigación de Seguridad Digital, compartió igualmente la preocupación, diciendo que el problema se conoce desde hace mucho tiempo durante al menos ocho años, "sin embargo, el hecho de que el comportamiento todavía está presente en la última versión de macOS, y (aunque potencialmente graves implicaciones de privacidad), no es ampliamente conocido por los usuarios de Mac, garantiza una discusión adicional ".
Prueba de concepto.
El investigador guardo dos imágenes, una en un contenedor sin encriptación (Luke) y otro en un contenedor encriptado (HFS+ / APFS) (Darth-vader). Al realizar la previsualización de las imágenes ya entenderíamos que están en cache.
En Disco No Encriptado
En Disco Encriptado
Lamentablemente esto también ocurre para todo tipo de archivos
"Si desmontamos el volumen cifrado, las miniaturas del archivo (como se mencionó anteriormente) aún se almacenan en el directorio temporal del usuario y, por lo tanto, se pueden extraer", dijo Wardle.
"Si un atacante (o la policía) tiene acceso al sistema en ejecución, incluso si los contenedores cifrados protegidos por contraseña se desmontan (como así su contenido 'seguro'), esta 'característica' de almacenamiento en caché puede revelar sus contenidos".