FileVault et QuickLook perdent des informations à partir de volumes chiffrés sous Mac OS

Coffre fort Si vous utilisez FileVault et QuickLook sur un Mac, vous voudrez peut-être savoir que la combinaison des deux peut entraîner la fuite d'informations sensibles à partir de volumes cryptés.

Lecteur Jack R. a envoyé le conseil suivant, expliquant la situation plus loin:

Lorsque FileVault et QuickLook sont utilisés simultanément, les informations sur les fichiers stockés sur le volume chiffré sont disponibles et complètement non cryptées sur votre disque dur. Cela est dû à la mise en cache des vignettes de QuickLook qui est stockée dans le répertoire / var /.

Exécutez la commande suivante pour voir la taille du cache QuickLook pour démontrer le potentiel:

find /var/folders -name "*QuickLook*" -exec du -h {} \; 2>/dev/null

Le pire scénario est la possibilité d'exposer des noms de fichiers et même des vignettes QuickLook de documents et d'images. Il y a aussi un fichier sqlite appelé index.sqlite dans les répertoires de cache QuickLook / var / folders qui ont une liste de noms de fichiers sur les volumes chiffrés.

Que ce soit ou non un trou de sécurité légitime qui est patchable ou si c'est quelque chose dont je m'inquiète sans but, je ne sais pas, mais je suis prêt à parier que beaucoup de gens ne le savent pas!

Note de l'éditeur : Cela semble définitivement être un trou de sécurité. J'imagine que la meilleure façon d'éviter ce problème est de ne pas utiliser QuickLook sur les données cryptées sensibles, bien que ce soit plus une solution de contournement qu'un correctif. Peut-être que Mac OS X finira par obtenir une mise à jour de sécurité pour résoudre le problème.

Mise à jour 18/06/2018: Plus de 8 ans plus tard, ce bug de sécurité existe toujours sous MacOS / Mac OS X! C'est les mauvaises nouvelles. Mais voici les bonnes nouvelles; Le chercheur en sécurité Patrick Wardle a attiré de nouveau l'attention sur cette faille et il sera probablement corrigé dans une future mise à jour logicielle.

En attendant, Wardle recommande la chaîne de commande suivante pour supprimer le cache Quick Look, qui peut être entré dans le terminal de Mac OS / Mac OS X:

qlmanage -r cache

L'exécution de cette commande effacera le cache Quick Look. Gardez un œil sur les futures mises à jour de sécurité et les mises à jour logicielles de Mac OS car elles corrigent probablement le bug une fois pour toutes.