image

Onderzoekers: MacOS-cache kan versleutelde data lekken

maandag 18 juni 2018, 15:42 door Redactie, 2 reacties

De cache van macOS kan versleutelde data lekken, zo waarschuwen onderzoekers Wojciech Regula en Patrick Wardle. Het probleem wordt veroorzaakt door QuickLook, een feature voor het snel bekijken van de inhoud van een bestand zonder de bijbehorende applicatie te openen.

Zo kunnen Mac-gebruikers bijvoorbeeld .xslx-bestanden bekijken zonder dat ze over Microsoft Excel hoeven te beschikken. Het probleem is dat QuickLook thumbnails van bekeken bestanden aanmaakt, ook als het om bestanden gaat die op een versleutelde harde schijf of in een versleutelde container zijn bekeken. In het geval van foto's wordt voor elke afbeelding een thumbnail opgeslagen die op het systeem blijft staan, ook als het originele bestand wordt verwijderd.

De onderzoekers erkennen dat de primaire schijf van de Mac waarschijnlijk versleuteld is. Dat houdt in dat de data op een uitgeschakeld systeem veilig is. Als een aanvaller echter toegang tot een draaiend systeem krijgt en de met een wachtwoord beveiligde versleutelde containers zijn losgekoppeld, de cachingfeature hun inhoud nog steeds kan onthullen. "In andere woorden, de extra beveiliging die versleutelde containers zouden moeten bieden kan volledig worden ondermijnd door QuickLook", aldus de onderzoekers. Ze merken op dat gebruikers hun QuickLook-cache handmatig kunnen verwijderen.

Reacties (2)
18-06-2018, 21:37 door Anoniem
Volledig ondermijnd, nadat de aanvaller toegang heeft gekregen tot een gecrypt systeem.
Uitloggen helpt.
19-06-2018, 15:46 door Anoniem
tWISten

Best nog wat voorwaarden
De onderzoekers erkennen dat de primaire schijf van de Mac waarschijnlijk versleuteld is. Dat houdt in dat de data op een uitgeschakeld systeem veilig is. Als een aanvaller echter toegang tot een draaiend systeem krijgt en de met een wachtwoord beveiligde versleutelde containers zijn losgekoppeld, de cachingfeature hun inhoud nog steeds kan onthullen.

Arstechnica
https://arstechnica.com/information-technology/2018/06/reminder-macos-still-leaks-secrets-stored-on-encrypted-drives/
Wardle and Regu?a recommend people manually delete the folder that stores the thumbnails each time they disconnect a sensitive drive or volume. The commands: rm -rf $TMPDIR/../C/com.apple.QuickLook.thumbnailcache. Then sudo reboot. Another option is to execute the 'qlmanage -r cache' command, which appears to purge the cache without requiring a reboot.

Yep, prullebak legen en het is weg.
Toch?

Eh, nee.
Je moet de data dan wel secure deleten, ook wel veilig wissen genoemd.
Dat kan je met de hand doen maar als het via de command line moet, is het dan niet juist iets met
srm
ipv
rm
?
Anders kan men het nog van je harde schijf opduikelen.
Het meeliften van welbekende pupliciteitsseeker lijkt in dit geval dus van geen toegevoegde waarde

Betreffende cache data wordt overigens niet weggeschreven naar je backups en het ene standaard user account kan niet bij de cache data van het andere standaard account, daar heb je dan een root/admin rechten voor nodig.
Maar toch.

Appel heeft overigens nog een andere vergelijkbare quirk met safari dat er ook al lang inzit.

Over wissen valt nogal te tWISten : als je het niet ziet, of als Apple zegt dat het weg is betekent het nog niet dat het werkelijk weg is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.