macOS的快速瀏覽緩存可能會泄露加密數據

何靜

macOS的快速瀏覽機制允許用戶在不需要實際打開文件的情況下查看文件的內容，但研究人員Wojciech Regua表示，這個功能很可能泄露緩存文件的信息，即使文件存儲在加密驅動器或文件已被刪除也無法保證數據的安全。

根據蘋果提供的信息，快速瀏覽功能允許類似Finder和Mail之類的App顯示文件內容的縮略圖，甚至還可以直接查看Keynote、Numbers、Pages、PDF文檔、圖片以及其他類型文件的完整內容。

快速瀏覽功能是以com.apple.quicklook注冊的，而其中的ThumbnailsAgentXPC服務能夠創建縮略圖數據庫并將其存儲在/var/folders/…/C/com.apple.QuickLook.thumbnailcache/目錄之中。

而現在的問題就在于，無論文件夾存儲在內部驅動器還是外部驅動器中，這個服務都會對可訪問文件夾內所有支持的文件創建縮略圖，而且這個功能同樣適用于macOS中HFS+/APFS加密驅動器。因此，根據用戶所安裝的快速瀏覽插件，com.apple.QuickLook.thumbnailcache/目錄中所存儲的SQLite數據庫文件將包含可訪問文件夾內所有的文件、預覽信息、元數據、圖片文件路徑和其他類型的文件。需要注意的是，該功能不僅會對用戶選擇快速預覽的文件創建縮略圖，它還會對文件夾內所有支持的文件創建緩存內容。

為了對漏洞進行演示，Regula創建了一個VeraCrypt容器，加載并在其中存儲了一張圖片，然后利用快速瀏覽功能創建了該圖片的緩存文件。接下來，他還在macOS HFS+/APFS加密驅動器中存儲了另一張文件，并創建了相應的緩存文件。創建完成之后，文件路徑和文件名稱等圖片緩存信息都將存儲在之前所提到的數據庫中。之后，研究人員使用了一個自制腳本提取出了thumbnails.data文件，并獲取到了縮略圖信息。

Regula表示：“這項技術在數據取證領域中早已是‘家喻戶曉了，但我個人卻是才發現的。對我來說，我不能理解為什么存儲在加密容器中的文件也會使用這樣的機制來進行緩存。當我們在容器中創建一個文件之后，系統會自動對文件的縮略圖創建緩存，即使用戶只是在UI界面中查看容器內容。值得一提的是，這種技術還適用于采用了密碼保護的加密AFPS容器?！?/p>

即使加密卷沒有加載，其中的文件縮略圖仍然會存儲在臨時目錄中，這也就意味著這部分內容是可以被提取出來的。除此之外，該功能還會對用戶插入到Mac電腦上的U盤文件創建緩存縮略圖。

當主驅動器被加密之后，在電腦關閉的情況下數據仍然是安全的，但是如果攻擊者或執法部門能夠訪問目標系統，即使是在加密驅動器沒有被加載的情況下其中的數據仍然可以被獲取到。

當然了，大家可以使用qlmanage -rcache命令來清除緩存內容，而且這個命令的生效不需要用戶重啟系統。