Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Sicherheitslücke in QuickLook kann verschlüsselte Daten in macOS enthüllen

QuickLook, die Funktion in macOS, die per Druck auf die Leertaste Dokumente in einer Voransicht aufruft, enthält eine Sicherheitslücke. QuickLook speichert die erzeugten Thumbnails auch von zuvor verschlüsselten Dateien unverschlüsselt in einem bestimmten Bereich. Das fand der Sicherheitsforscher Wojciech Regula heraus. Seinen Erkenntnissen hat sich nun der Blog The Hackers News ausführlich gewidmet.


Funktioniert selbst bei gelöschten Dateien
Durch die Lücke können verschlüsselte Inhalte von Eindringlingen, die wissen, wo sie suchen müssen, aufgespürt werden. Die Voransicht muss dafür jedoch für die gesuchte Datei schon einmal aufgerufen worden sein. Denn erst dann speichert macOS zumindest einen Ausschnitt des Dokumentes in seiner Thumbnail-Datenbank, die unverschlüsselt immer am selben Platz des Systems liegt: Im User-Verzeichnis. So kann jeder Code, der im User-Kontext läuft, darauf zugreifen. Die Voransichten bestehen in der Datenbank permanent, sodass sie sogar einsehbar bleiben, wenn die betreffende Originaldatei bereits gelöscht wurde.

Regula gelingt Nachweis
Anhand von zwei Fotos erklärt Regula den Mechanismus. Er speichert die Bilder in zwei von einander getrennten, verschlüsselten Containern. Das eine JPEG sichert der Forscher mittels VeraCrypt, das andere mithilfe der Onboard-Verschlüsselung Encrypted HFS+/APFS. Mit einem SQLite Browser und ein paar Befehlen findet er die Thumbnails im System und ruft die Voransichten über ein modifiziertes Python-Skript auf. Natürlich tauchen die Bilder nicht in der vollen Auflösung auf, groß genug jedoch, um zu erkennen, was abgebildet ist: Im Beispiel hat QuickLook die originalen 1920x1080 Pixel des Beispielbilds auf 336 x 182 Pixel runtergerechnet.

Lösung ist einfach
Für Apple wäre das Problem relativ einfach zu lösen, führt der Programmierer Patrick Wardle aus, der sich der Lücke auf seinem Blog etwas intensiver gewidmet hat. Zum einen könnte Apple einen Mechanismus einbauen, der, sollte die Originaldatei in einem verschlüsselten Container liegen, die Erstellung einer Voransicht verhindert. Zum anderen dürfte ein automatisches Löschen des Caches nach dem Auswerfen des verschlüsselten Laufwerks das Problem ebenfalls lösen. Wardle empfiehlt bis dahin den QuickLook Cache händisch zu löschen, nachdem man einen verschlüsselten Container ausgeworfen hat. Dazu verwendet man den Terminalbefehl $ qlmanage -r cache – wer anschließend das System rebootet, zwingt macOS dazu, eine neue Datenbank zu erstellen.
Apples interne Einschätzung: Zwei Jahre Rückstand zur KI-Konkurrenz
Apples interne Einschätzung: Zwei Jahre Rücksta...
Visa sah Apple als "existenzielle Bedrohung" an
Visa sah Apple als "existenzielle Bedrohung" an
macOS 15, iOS 18: Die ersten Nutzer-Rückmeldungen und frühen Erfahrungen
macOS 15, iOS 18: Die ersten Nutzer-Rückmeldung...
Eskalationskurs: ARM kündigt Qualcomm die Design-Lizenz
Eskalationskurs: ARM kündigt Qualcomm die Desig...
Test Cambridge P100
Test Cambridge P100
Bewertung der gestrigen Neuvorstellungen: Umwerfend ist anders
Bewertung der gestrigen Neuvorstellungen: Umwer...
Kurz: Schon wieder neue AirPods-Firmware +++ Severance Staffel 2: Trailer erschienen
Kurz: Schon wieder neue AirPods-Firmware +++ Se...
Apple Watch Series 10
Apple Watch Series 10

Kommentare

camaso
camaso19.06.18 08:50
In welchem Ordner liegen diese Snapshots?
0
TFMail1000
TFMail100019.06.18 08:52
QuickLook zeigt mir immer schon in der Vorschau Daten an, die seit Jahren überschrieben und mehrfach geändert wurden. Ganz extrem bei Word Dokumenten.
May the force be with you
0
MLOS19.06.18 09:24
Interessant, dass man das erst jetzt herausfindet ☺️
+1
epionier
epionier19.06.18 09:54
Zumal derartige Daten allgemein vom System bei einem Neustart gelöscht werden sollten oder aber gleich verschlüsselt werden sollen; also nicht nur solche die in verschlüsselten Containern sind / waren.

Wenn ich eine Datei z.B. ein Word Dokument lösche möchte ich nicht, dass noch ein Screenshot hiervon auf dem System gespeichert bleibt.

Leider ist QuickLook zu praktisch als dass man darauf verzichten möchte.
0
sierkb19.06.18 12:21
Patrick Wardle, Objective See Blog (15.06.2018): Cache Me Outside: apple's 'quicklook' cache may leak encrypted data
Patrick Wardle
//patrick:
Apple states that: "we believe privacy is a fundamental human right....[and] every Apple product is designed from the ground up to protect that"

...unfortunately marketing claims and reality are sometimes at odds.

OSX Daily (25.07.2010): FileVault and QuickLook leak some information from encrypted volumes in Mac OS
OSX Daily (25.07.2010)
[…]

Editor note: This definitely seems like a security hole. I imagine the best way to avoid this problem is to just not use QuickLook on the sensitive encrypted data, although that’s more of a workaround than a fix. Perhaps Mac OS X will eventually get a security update to resolve the problem.

Update 6/18/2018: Over 8 years later, this security bug still exists in MacOS / Mac OS X! That’s the bad news. But here’s the good news; security researcher Patrick Wardle has brought some renewed attention to this flaw and thus it will likely get patched in a future software update.

In the meantime, Wardle recommends the following command string to delete the Quick Look cache, which can be entered into the Terminal of MacOS / Mac OS X:
qlmanage -r cache
Executing that command will clear the Quick Look cache. Keep an eye out for future security updates and software updates to Mac OS as they will likely patch the bug once and for all.

[…]

Ähnliches Thema bzgl. lang bekannter und nicht gefixter Leckage sensibler Informationen:

Golem (14.03.2018): Apple-Datei auf Webservern verrät Verzeichnisinhalte
Mittels Parser lassen sich aus .DS_Store-Dateien sensible Informationen auslesen. Das Projekt Internetwache.org hat sich die proprietäre Lösung von Apple genauer angeschaut - und Erstaunliches zutage gefördert.

Internetwache.org (12.03.2018) Analyse der .DS_Store-Datei in den Alexa Top 1 Millionen

Sebastian Neef - 0day.work: Parsing the .DS_Store file format

Arno Gourdol (01.10.2006): On the origins of .DS_Store: If you are a Mac user, or if you have transfered files from Mac to Windows, you’re probably familiar with .DS_Store files. But where does this name come from? (Arno Gourdol: Lead Web Platform and Authoring team at Adobe, Prior to joining Adobe in 2001 member of the User Interface team at Apple that conceived, designed and implemented Aqua, the user interface of Mac OS X)
+2
pb_user
pb_user20.06.18 10:52
mal ganz naiv gefragt: wieso muss überhaupt eine solche datenbank angelegt werden?
jedenfalls, wenn man konsequent in der listenansicht unterwegs ist und auch die symbolvorschau deaktiviert ist?
0
MarkInTosh20.06.18 15:11
pb_user
mal ganz naiv gefragt: wieso muss überhaupt eine solche datenbank angelegt werden?
jedenfalls, wenn man konsequent in der listenansicht unterwegs ist und auch die symbolvorschau deaktiviert ist?

Hier geht es NICHT um Icons, die in einer Listenansicht tatsächlich unnötig sein können, sondern um Voransichten, die man (via QuickLook) per Leertaste aufrufen kann. Hat man dies einmal gemacht, speichert Mac OS X diese bis zum Sankt Nimmerleinstag in einer SQL-Datenbank.

Ich und viele andere nutzen diese praktische Einrichtung, nur war man bisher im Irrglauben, diese Voransichten würden irgendwann, spätestens zum Zeitpunkt, wenn die Originale nicht verfügbar sind, einmal gelöscht. Stattdessen liegen sie auch noch in einem Unterverzeichnis von (User)/private/var/folders und werden somit sogar von Time Machine mitgesichert... Somit können sensible Daten (z.B. Voransichten von Office- oder PDF-Dokumenten) - selbst, wenn Sie auf verschlüsselten Laufwerken liegen! - ggf. jederzeit von Fachleuten mit SQL-Kenntnissen abgerufen werden. Das ist schon - vor allem im Office-Umfeld - ein ziemlicher Hammer.
+2
Johsim21.06.18 10:47
Diese Problematik ist sein mind. 2010 bekannt und hätte schon lange behoben sein müssen.

Ich denke, Apple hat das Gleichgewicht von einfacher Nutzbarkeit und Sicherheit in den letzten Jahren verbessert und eine Leertaste drücken, um eine Vorschau zu bekommen, ist etwas, was wir alle mögen.
Wenn jedoch ein anfügbares verschlüsseltes Laufwerk verwendet wird, erwarten wir ein anderes Verhalten. Z.b. kein Cache oder ein versteckter Cache auf dem verschlüsselten Laufwerk selbst.

Wir haben selbst eine verschlüsselte Finder App entwickelt und die hat auch Vorschaubilder.
Unsere App SimpleumSafe hat diese Sicherheitsanfälligkeit nicht, weil wir ein anderes Cache-Design haben und unsere Caches verschlüsselt sind. Also kann dies auch leicht von Apple umgesetzt werden.

Das Gleiche gilt auch für viele andere Funktionen, bei denen einfache Nutzbarkeit gegen Sicherheit abzuwägen ist, wie z.B. das automatische öffnen von Dateien, die in Safari heruntergeladen wurden, was keine gute Idee ist. Apple hat nicht technische
Menschen im Auge bei der Gestaltung der Benutzeroberfläche, aber heute
gibt es mehr und mehr Angriffe und Apple hat deutlicher zu zeigen, welche Einstellungen für einfache Nutzbarkeit vs. Sicherheit verfügbar sind. Wir haben einen kostenlosen Sicherheitsberater gebaut, um diese Arbeit zu beginnen. SimpleumCheck. Aber dies ist eigentlich die Aufgabe von Apple.

Hoffentlich erwacht Apple nun, weil dies ein echtes Sicherheitsloch für Menschen ist, die mit sensiblen Daten arbeiten.
+1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.