El Quick Look o Vista Previa de macOS tiene un conocido bug desde hace ocho años que potencialmente expone el contenido de archivos cifrados, y varios investigadores de seguridad están advirtiendo nuevamente sobre él.
Vista Previa es una función bastante útil de macOS, una que en Windows solo se obtiene con programas de terceros, y que ofrece una forma sencilla de obtener una vista previa de fotos, documentos y carpetas simplemente presionando la barra de espacio sin tener que abrirlos. Y he ahí el problema.
La función Vista Previa genera miniaturas para cada archivo o carpeta, de forma que el usuario pueda echar un vistazo antes de abrirlos. Esas miniaturas se almacenan en caché, y se almacenan en el disco sin cifrado.
No solo se almacenan sin cifrado sino que se almacenan sin ninguna protección en una conocida ubicación: /var/folders/.../C/com.apple.QuickLook.thumbnailcache/
. Esto sin importar que la Vista Previa haya sido usada para mirar archivos que sí están cifrados.
Esto quiere decir, por ejemplo, que todas las fotos que hayas mirado usando Vista Previa están almacenadas en ese directorio. Las fotos además, permanecen en esa ubicación incluso si borras los archivos o si usaste la Vista Previa en un disco cifrado.
Para probar esto, el investigador Wojciech Reguła armó una prueba de concepto en la que creó dos nuevos contenedores cifrados, uno usando VeraCrypt y el otro con los discos HFS+/APFS cifrados de macOS, y luego guardó una foto en cada uno. Con un simple comando, Regula pudo encontrar la ruta y miniaturas en caché de ambas imágenes fuera de sus contenedores cifrados.
Los investigadores creen que el problema sería bastante fácil de resolver sin Apple simplemente no generará vistas previas de archivos que se encuentren en un contenedor cifrado, o borrando el caché cuando el volumen se desmonta. Mientras no exista una solución, el único consejo es borrar el caché de Vista Previa de forma manual.
Ver 3 comentarios