Los investigadores de seguridad están advirtiendo sobre un problema de hace casi una década con una de las características en macOS de Apple, diseñada para conveniencia de usuarios.
MacOS de Apple potencialmente expone el contenido de los archivos almacenados en unidades cifradas protegidas con contraseña.
A principios de este mes, el investigador de seguridad Wojciech Regula de SecuRing publicó una publicación en un blog sobre la función «Vista rápida» en macOS que ayuda a los usuarios a previsualizar fotos, archivos de documentos o una carpeta sin abrirlos.
Regula explicó que la función Vista rápida genera miniaturas para cada archivo/carpeta, lo que brinda a los usuarios una forma conveniente de evaluar los archivos antes de que los abran.
Sin embargo, estas miniaturas en caché se almacenan en el disco duro no cifrado de la computadora, en una ubicación conocida y desprotegida, incluso si esos archivos/carpetas pertenecen a un contenedor cifrado, y finalmente revelan parte del contenido almacenado en unidades cifradas.
Patrick Wardle, director de investigación de Seguridad Digital, compartió igualmente la preocupación, diciendo que el problema se conoce desde hace mucho tiempo durante al menos ocho años, «sin embargo, el hecho de que el comportamiento todavía está presente en la última versión de macOS, y (aunque potencialmente graves implicaciones de privacidad), no es ampliamente conocido por los usuarios de Mac, garantiza una discusión adicional «.
Para demostrar su afirmación, Regula creó dos nuevos contenedores cifrados, uno con el software VeraCrypt y el segundo con unidades MacOS Encrypted HFS + / APFS, y luego guardó una foto en cada uno de ellos.
Como se explica en su publicación, después de ejecutar un comando simple en su sistema, Regula pudo encontrar la ruta y los archivos en caché para ambas imágenes que quedaron fuera de los contenedores cifrados.
«Esto significa que todas las fotos que has previsualizado usando espacio (o Quicklook las almacenaron en caché de forma independiente) se almacenan en ese directorio como una miniatura y su ruta», dijo Regula.
En una publicación de blog separada, Wardle demostró que macOS se comporta de la misma manera para los contenedores AFPS encriptados y protegidos con contraseña, y finalmente expone incluso los volúmenes encriptados al posible espionaje.
«Si desmontamos el volumen cifrado, las miniaturas del archivo (como se mencionó anteriormente) aún se almacenan en el directorio temporal del usuario y, por lo tanto, se pueden extraer», dijo Wardle.
«Si un atacante (o la policía) tiene acceso al sistema en ejecución, incluso si los contenedores cifrados protegidos por contraseña se desmontan (como así su contenido ‘seguro’), esta ‘característica’ de almacenamiento en caché puede revelar sus contenidos».
Wardle también señaló que si conecta una unidad USB con su computadora Mac, el sistema creará miniaturas de los archivos que residen en la unidad externa y los almacenará en su disco de arranque.
Wardle cree que sería bastante fácil para Apple resolver este problema al no generar una vista previa si el archivo está dentro de un contenedor cifrado, o eliminar la caché cuando se desmonta un volumen.
Hasta que, a menos que Apple resuelva este problema en el futuro, Wardles recomienda a los usuarios eliminar manualmente el caché de QuickLook cuando desmontan un contenedor cifrado.