macOS 存在漏洞，泄露加密硬盘中的敏感数据缓存

翻译：360代码卫士团队

两名 macOS 安全专家 Wojciech Regula 和 Patrick Wardle指出，苹果 macOS 秘密地为存储在受密码保护/加密容器（硬盘、分区）中的图像和其它文件类型创建并缓存了缩略图。

问题在于，这些缓存的缩略图被存储在地址已知的且可遭恶意软件或取证工具轻易检索的非加密硬盘中，导致存储在加密容器中的某些内容遭泄露。

在 macOS 上，这些缩略图是通过 Finder 和 QuickLook 常见的。Finder 是默认的 macOS 文件搜索应用，类似于 Windows Explorer。

当用户导航至新文件夹时，Finder 自动为位于这些文件夹中的文件加载图标。对于图像而言，这些图标由展示图像的预览的缩略图逐步替代。但在近期发布的 macOS 版本中，苹果公司向 Finder 增加了 QuickLook 新功能。该功能可让用户在让文件选择并查看文件内容的类似图像的预览时，按下 Space 键。苹果这样做是为了让用户能够预览具有类似文件名称的文件以确定打开具体哪个文件。

这些 QuickLook 预览只不过是图像，和 Finder 为照片创建的缩略图类似。这两种缩略图都被创建且存储在同一个位置：

$TMPDIR/../C/com.apple.QuickLook.thumbnailcache/。

使用加密容器确保文件安全的用户可能并未意识到他们可能经由缩略图缓存或 QuickLook 功能泄露信息。

Wardle 表示，这种“泄露”至少已存在8年之久，而且已经是很多取证专家知道的专业秘密。

然而，随着全球政权利用一流技术和暴力打压持不同政见者的声音，因此 Regula 和 Wardle 公布文章，详述了这种机制的情况，希望能够提醒相关用户采取必要措施。

Wardle 指出，解除加密容器的挂载后，可运行如下两个命令删除缩略图缓存（并重启计算机），从操作系统的非加密部分清空所有受攻陷缩略图。

$ rm -rf $TMPDIR/../C/com.apple.QuickLook.thumbnailcache

$ sudo reboot

原文链接

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。