Quick Look, la característica de macOS que permite visualizar archivos sin abrir las correspondientes aplicaciones relacionadas con los archivos tiene un problema de seguridad que permite acceder a las previsualizaciones hechas incluso cuando el documento ha desaparecido ya del disco.

El agujero de seguridad, que supuestamente ha estado presente en Quick Look desde que se lanzó la característica hace más de una década, se detalló a principios de este mes en una entrada de blog del investigador de seguridad Wojciech Regula. Patrick Wardle, con la ayuda de Regula, proporcionó una explicación detallada de la falla en una entrada de blog la semana pasada.

Como señala Regula, el mecanismo de Vista Rápida de Apple genera y almacena en caché miniaturas de archivos, imágenes, carpetas y otros datos para un acceso rápido y fácil por parte de macOS. Esto permite a los usuarios de Mac previsualizar rápidamente dicha información con el toque de la barra espaciadora. En lugar de confiar en una aplicación dedicada, como Acrobat para PDFs, macOS es capaz de proporcionar un «vistazo rápido» al archivo utilizando los activos del sistema operativo.

El problema, que fue discutido inicialmente hace unos ocho años, son las prácticas de manejo de archivos de Quick Look. La función de Apple almacena cachés de imágenes en miniatura en una unidad sin cifrar, lo que significa que los fragmentos de archivos de origen, incluso los contenidos en contenedores cifrados, se pueden exponer a aquellos que saben dónde buscar.

«Esto significa que todas las fotos que has previsualizado usando el espacio (o QuickLook las ha almacenado en caché de forma independiente) se almacenan en ese directorio como una miniatura y su ruta«, escribe Regula.

Para verificar sus afirmaciones, Regula creó una prueba de concepto en la que dos imágenes fueron guardadas en dos contenedores encriptados separados, uno creado con VeraCrypt y otro con macOS Encrypted HFS+/APFS. El investigador fue capaz de encontrar tanto las imágenes como sus rutas con un simple comando, que a su vez dio acceso a una versión en miniatura de los archivos originales.

Wardle añade que la función de almacenamiento en caché de Vista Rápida se extiende a las unidades USB conectadas, con miniaturas almacenadas en la unidad de arranque del ordenador host. Argumentó además que, si bien el fallo de Vista Rápida no revela todo el contenido de un archivo determinado, lo que proporciona podría resultar útil para atacantes o organismos encargados de hacer cumplir la ley.

Dicho esto, sería relativamente sencillo para Apple solucionar el problema. Como señala Wardle, Apple podría relegar las vistas previas de Vista Rápida a archivos ubicados fuera de contenedores cifrados o, alternativamente, vaciar las miniaturas de caché cuando se desmonta un volumen.

Sin un arreglo oficial, los usuarios preocupados por exponer datos potencialmente sensibles pueden borrar manualmente una caché de Vista Rápida cuando un contenedor es desmontado usando la utilidad qlmanage.

Hay dos formas de eliminar esta caché y de paso, liberar espacio de disco. La primera es eliminar completamente la caché de Quick Look borrando la carpeta adecuada y después reiniciado el Mac. El comando de Terminal sería:

rm -rf $TMPDIR/../C/com.apple.QuickLook.thumbnailcache

La segunda forma, mucho menos agresiva pero que también requiere de un reinicio después de ejecutar el comando sería:

qlmanage -r cache

 

 

In this article


Join the Conversation

3 comments

  1. Manuel Bonino

    No estoy seguro de entender una cuestión: si alguien conecta un pendrive a mi ordenador, ¿en ese pendrive queda también almacenada la caché de Quick Look de mi ordenador? Porque entonces cada vez que alguien nos da un pendrive para que le copiemos algo, puede almacenar en él toda esa información nuestra y podría acceder a la misma. De ser así esto sería gravísimo.

    1. Carlos Burges Ruiz de Gopegui

      La respuesta rápida es «no» para toda la caché del ordenador en un disco duro externo/memoria USB. De todas maneras estoy preparando un artículo en profundidad sobre qué datos se guardan en una memoria USB/Disco externo.

      1. Manuel Bonino

        Visto y leído, gracias!