Una vulnerabilidad en Quick Look permite revelar datos en volúmenes cifrados

El agujero de seguridad, que supuestamente ha estado presente en Quick Look desde que se lanzó la característica hace más de una década, se detalló a principios de este mes en una entrada de blog del investigador de seguridad Wojciech Regula. Patrick Wardle, con la ayuda de Regula, proporcionó una explicación detallada de la falla en una entrada de blog la semana pasada.

Como señala Regula, el mecanismo de Vista Rápida de Apple genera y almacena en caché miniaturas de archivos, imágenes, carpetas y otros datos para un acceso rápido y fácil por parte de macOS. Esto permite a los usuarios de Mac previsualizar rápidamente dicha información con el toque de la barra espaciadora. En lugar de confiar en una aplicación dedicada, como Acrobat para PDFs, macOS es capaz de proporcionar un “vistazo rápido” al archivo utilizando los activos del sistema operativo.

El problema, que fue discutido inicialmente hace unos ocho años, son las prácticas de manejo de archivos de Quick Look. La función de Apple almacena cachés de imágenes en miniatura en una unidad sin cifrar, lo que significa que los fragmentos de archivos de origen, incluso los contenidos en contenedores cifrados, se pueden exponer a aquellos que saben dónde buscar.

Esto significa que todas las fotos que has previsualizado usando el espacio (o QuickLook las ha almacenado en caché de forma independiente) se almacenan en ese directorio como una miniatura y su ruta“, escribe Regula.

Para verificar sus afirmaciones, Regula creó una prueba de concepto en la que dos imágenes fueron guardadas en dos contenedores encriptados separados, uno creado con VeraCrypt y otro con macOS Encrypted HFS+/APFS. El investigador fue capaz de encontrar tanto las imágenes como sus rutas con un simple comando, que a su vez dio acceso a una versión en miniatura de los archivos originales.

Wardle añade que la función de almacenamiento en caché de Vista Rápida se extiende a las unidades USB conectadas, con miniaturas almacenadas en la unidad de arranque del ordenador host. Argumentó además que, si bien el fallo de Vista Rápida no revela todo el contenido de un archivo determinado, lo que proporciona podría resultar útil para atacantes o organismos encargados de hacer cumplir la ley.

Dicho esto, sería relativamente sencillo para Apple solucionar el problema. Como señala Wardle, Apple podría relegar las vistas previas de Vista Rápida a archivos ubicados fuera de contenedores cifrados o, alternativamente, vaciar las miniaturas de caché cuando se desmonta un volumen.

Sin un arreglo oficial, los usuarios preocupados por exponer datos potencialmente sensibles pueden borrar manualmente una caché de Vista Rápida cuando un contenedor es desmontado usando la utilidad qlmanage.

Hay dos formas de eliminar esta caché y de paso, liberar espacio de disco. La primera es eliminar completamente la caché de Quick Look borrando la carpeta adecuada y después reiniciado el Mac. El comando de Terminal sería:

rm -rf $TMPDIR/../C/com.apple.QuickLook.thumbnailcache

La segunda forma, mucho menos agresiva pero que también requiere de un reinicio después de ejecutar el comando sería:

qlmanage -r cache

 

 

0 0 votos
Article Rating
Subscribe
Notify of
3 Comments
Oldest
Newest Most Voted
Opiniones Inline
Ver todos los comentarios
Manuel Bonino
5 years ago

No estoy seguro de entender una cuestión: si alguien conecta un pendrive a mi ordenador, ¿en ese pendrive queda también almacenada la caché de Quick Look de mi ordenador? Porque entonces cada vez que alguien nos da un pendrive para que le copiemos algo, puede almacenar en él toda esa información nuestra y podría acceder a la misma. De ser así esto sería gravísimo.

Manuel Bonino
Responder a  Carlos Burges Ruiz de Gopegui
5 years ago

Visto y leído, gracias!

Lost your password? Please enter your email address. You will receive mail with link to set new password.

wpDiscuz
3
0
Me encantaría saber tu opinión, por favor, deja un comentariox
()
x
Salir de la versión móvil