本月初，來自 . 此漏洞允許黑客竊取用戶加密磁盤上的私人文件。此外，這個漏洞已經(jīng)存在至少八年，mac 用戶并不廣為人知，Apple 仍未修復(fù)。

▌什么是快速瀏覽？

想必 mac 的用戶應(yīng)該熟悉這個特性。其中一項很酷的功能是快速查看mac 照片 加密軟件，它是文件瀏覽器功能之一，可幫助用戶快速預(yù)覽文件，而無需打開照片、文檔文件或文件夾。例如，*xlsx 文件只需按空格鍵即可預(yù)覽，無需安裝應(yīng)用程序。

為實現(xiàn)此功能，Quick Look 創(chuàng)建了一個未加密的縮略圖數(shù)據(jù)庫，其根目錄為 /var//.../C/com.apple../，用于保存為每個文件/文件夾縮略圖生成的 Quick Look。

▌驗證忽略的錯誤

正是這個縮略圖數(shù)據(jù)庫導(dǎo)致了這個漏洞。即使原始照片、文件、文件夾被加密，生成的縮略圖仍然可以提供加密磁盤上內(nèi)容的預(yù)覽。即使用戶刪除了相關(guān)文件，這些文件也會被緩存并留在根目錄中，因為用戶已經(jīng)在加密硬盤驅(qū)動器或/和其他加密工具中預(yù)覽了它們。結(jié)果，技術(shù)人員可以通過特殊的方法訪問這些縮略圖，而macOS沒有可以刪除縮略圖的自動緩存清除功能。

為了檢測是否真的存在漏洞，進行驗證。

他安裝了兩個新的加密軟件。使用 軟件，保存一張名為 Luke 的照片（本地目錄 ///luke-.png），然后按空格鍵讓 Quick Look 生成縮略圖。

另一個使用 macOS HFS+/APFS 驅(qū)動器并保存名為 Darth Vader 的圖片（本地目錄 ///test/darth-vader.jpeg）。

綜上所述，電腦中應(yīng)該有兩個圖片緩存文件?，F(xiàn)在可以使用以下命令找到該文件：

:~ r3$ find $../C/com.apple../ -type f -name "index."

/var///d5//C/com.apple../index.

:~ r3$ 查找 $../C/com.apple../ -type f -name ".data"

/var///d5//C/com.apple../.data

現(xiàn)在將它們復(fù)制到其他地方：

:~ r3$ mkdir ~///

:~ r3$ cp /var///d5//C/com.apple../index.~///

:~ r3$ cp /var///d5//C/com.apple../.data ~///

打開索引。查找文件內(nèi)容。

我們有關(guān)于完整路徑和文件名的信息。現(xiàn)在，讓我們?yōu)g覽 .data 文件以檢索縮略圖。使用了 ()，稍作修改以提供 macOS 兼容性。

:OSX-- r3$ _5.py -d /Users/r3//OSX--/ -o /Users/r3//OSX--/

:41

:41

:41

輸出目錄包含預(yù)覽的縮略圖版本。

點擊打開圖片，確實是縮略圖，原版的像素是1920*1080，現(xiàn)在縮略圖大小是336*182。

足以確保可以看到加密的圖像內(nèi)容，不是嗎？

▌ 對用戶的影響

基于此，首席研究員也表達了同樣的擔(dān)憂，“這個問題至少有八年之久了，然而，該漏洞目前存在于最新版本的macOS，并且（盡管可能存在嚴重的隱私泄露）） mac 并不為用戶所熟知?！?/p>

其安全漏洞無疑為執(zhí)法人員提供了很好的便利。但是如果攻擊者攻擊正在運行的計算機系統(tǒng)，即使已卸載加密軟件，文件的縮略圖仍然會存儲在用戶計算機的臨時目錄中mac 照片 加密軟件，這意味著縮略圖的內(nèi)容可以還是可以通過緩存看到的，自然隱私已經(jīng)泄露。

至于這個漏洞的解決方法，相信蘋果應(yīng)該可以輕松解決這個問題，只要文件在加密的軟件中，不生成預(yù)覽縮略圖，或者卸載時刪除軟件 緩存可以解決。

▌寫在最后

目前蘋果還沒有修復(fù)這個漏洞，所以用戶需要在卸載加密軟件的同時手動刪除Quick Look緩存。最后，在漏洞造成太大影響之前，希望用戶自己能夠提前做好預(yù)防措施，防止其發(fā)生。

參考