macOS-Fehler macht verschlüsselte Bilder und Texte zugänglich
Ein Bug in der QuickLook-Schnellansicht speichert auch geschützte Dateien im Dateisystem, so Sicherheitsforscher.
Beispiel eines eigentlich verschlüsselten Fotos mitten im Dateisystem.
(Bild: Patrick Wardle)
In macOS wird ein Sandboxing verwendet, um sensible Daten voneinander zu trennen. Zudem sollte das Betriebssystem auch keine verschlüsselten Dateien zwischenspeichern. Doch genau dieses geschieht aufgrund eines Bugs – und das sogar schon über mehrere Jahre, wie zwei Sicherheitsforscher nun herausgefunden haben.
Der Fehler, so schreiben der Original-Autor Wojciech Regula und sein Kollege Patrick Wardle, liegt in der Schnellansicht QuickLook, die im macOS-Dateimanager Finder bereitsteht und es ermöglicht, mit einem Druck auf die Leertaste Dateiinhalte – etwa Bilder, Tabellen oder Texte – flott durchzusehen.
Automatische Zwischenspeicherung
Wird QuickLook verwendet, werden aufgerufene Bilder und andere Dokumentenarten allerdings automatisch zwischengespeichert – zwar nicht in Form der Originaldatei, jedoch in Form von Icon-Miniaturen (Thumbnails). Dabei unterscheidet macOS nicht zwischen verschlüsselten und unverschlüsselten Dateien. Die Thumbnails lassen sich dann wiederum in einem Cache-Verzeichnis auffinden und anschauen – Zugriff auf das (unverschlüsselte) Hauptmedium des Macs vorausgesetzt.
Diese Tatsache scheint Datenforensikern in Firmen und Behörden schon lange bekannt zu sein, die den Tipp, sich diesen Bereich der Festplatte oder SSD doch einmal näher anzusehen, regelmäßig geben, wie Wardle sagt. Die Thumbnails werden zudem nicht automatisch gelöscht – auch nicht, wenn das Original entfernt oder der verschlüsselte Container, in denen es steckte, ausgewurfen wurde. Neben den Miniaturen selbst lassen sich auch Metadaten wie Dateinamen auffinden. So sei es auch möglich, eine Datenbank der Files zu erstellen, die auf entnehmbaren Medien wie USB-Sticks lagen.
Forensik mit Thumbnails
Die Thumbnails sind zwar klein (bei Bildern etwa nur 128 mal 128 Pixel), aber insbesondere bei Fotos oft noch gut erkennbar. Bei Texten kommt es darauf an, wie groß der vom Nutzer verwendete Font ausfällt – grundsätzlich enthält das Icon-Thumbnail aber Inhalte aus dem Dokument.
Ein weiteres Problem ist, dass das Caching offenbar auch dann auftritt, wenn man QuickLook nicht direkt eingesetzt hat, wie die Sicherheitsforscher schreiben – dann reicht es, sich mit dem Finder in das entsprechende Verzeichnis zu begeben. Apple ist über den Bug informiert und dürfte ihn in einer künftigen macOS-Version beheben. (bsc)
