Le bogue Apple macOS révèle le cache de données sensibles provenant de lecteurs cryptés

Les chercheurs en sécurité mettent en garde contre un problème de près d’une décennie avec l’une des fonctionnalités macOS d’Apple qui a été conçue pour la commodité des utilisateurs mais expose potentiellement le contenu des fichiers stockés sur des disques cryptés protégés par mot de passe.

Plus tôt ce mois-ci, le chercheur en sécurité Wojciech Regula de SecuRing a publié un billet sur la fonction « Quick Look » de macOS qui aide les utilisateurs à prévisualiser des photos, des documents ou un dossier sans les ouvrir.

Regula a expliqué que la fonctionnalité Quick Look génère des vignettes pour chaque fichier / dossier, offrant aux utilisateurs un moyen pratique d’évaluer les fichiers avant de les ouvrir.

Toutefois, ces vignettes mises en cache sont stockées sur le disque dur non chiffré de l’ordinateur, à un emplacement connu et non protégé, même si ces fichiers / dossiers appartiennent à un conteneur chiffré, révélant éventuellement une partie du contenu stocké sur les lecteurs chiffrés.

Patrick Wardle, directeur de la recherche chez Digital Security, partageait également l’inquiétude, disant que le problème était connu depuis au moins huit ans, "cependant le fait que le comportement est toujours présent dans la dernière version de macOS, et (bien que potentiellement implications graves sur la vie privée), n’est pas très connu des utilisateurs de Mac, justifie des discussions supplémentaires. "

Pour prouver sa revendication, Regula a créé deux nouveaux conteneurs cryptés, l’un utilisant le logiciel VeraCrypt et le second avec des disques HFS + / APFS cryptés par macOS, puis a enregistré une photo dans chacun d’eux.

Comme expliqué dans son article, après avoir exécuté une simple commande sur son système, Regula a pu trouver le chemin et les fichiers mis en cache pour les deux images laissées en dehors des conteneurs cryptés.

"Cela signifie que toutes les photos que vous avez prévisualisées en utilisant l’espace (ou Quicklook mis en cache de manière indépendante) sont stockées dans ce répertoire comme une miniature et son chemin", a déclaré Regula.

Dans un billet de blog séparé , Wardle a démontré que macOS se comporte de la même façon pour les conteneurs AFPS cryptés protégés par mot de passe, exposant éventuellement même des volumes cryptés à une espionnage potentiel.

"Si nous démontons le volume chiffré, les vignettes du fichier sont (comme mentionné précédemment) encore stockées dans le répertoire temporaire de l’utilisateur, et peuvent donc être extraites", a déclaré Wardle.

"Si un attaquant (ou une autorité) a accès au système en cours d’exécution, même si les conteneurs cryptés protégés par mot de passe sont démontés (donc leur contenu est" sûr "), cette fonctionnalité peut révéler leur contenu."

Wardle a également noté que si vous connectez un lecteur USB avec votre ordinateur Mac, le système va créer des vignettes de fichiers résidant sur le disque externe et les stocker sur son disque de démarrage.

Wardle pense qu’il serait assez facile pour Apple de résoudre ce problème soit en ne générant pas d’aperçu si le fichier se trouve dans un conteneur chiffré, soit en supprimant le cache lorsqu’un volume est démonté.

Jusqu’à ce que Apple résolve ce problème à l’avenir, Wardles conseille aux utilisateurs de supprimer manuellement le cache QuickLook lorsqu’ils démontent un conteneur chiffré.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 31 |

Actu en image