何靜

macOS的快速瀏覽機(jī)制允許用戶在不需要實(shí)際打開文件的情況下查看文件的內(nèi)容，但研究人員Wojciech Regua表示，這個(gè)功能很可能泄露緩存文件的信息，即使文件存儲(chǔ)在加密驅(qū)動(dòng)器或文件已被刪除也無法保證數(shù)據(jù)的安全。

根據(jù)蘋果提供的信息，快速瀏覽功能允許類似Finder和Mail之類的App顯示文件內(nèi)容的縮略圖，甚至還可以直接查看Keynote、Numbers、Pages、PDF文檔、圖片以及其他類型文件的完整內(nèi)容。

快速瀏覽功能是以com.apple.quicklook注冊(cè)的，而其中的ThumbnailsAgentXPC服務(wù)能夠創(chuàng)建縮略圖數(shù)據(jù)庫并將其存儲(chǔ)在/var/folders/…/C/com.apple.QuickLook.thumbnailcache/目錄之中。

而現(xiàn)在的問題就在于，無論文件夾存儲(chǔ)在內(nèi)部驅(qū)動(dòng)器還是外部驅(qū)動(dòng)器中，這個(gè)服務(wù)都會(huì)對(duì)可訪問文件夾內(nèi)所有支持的文件創(chuàng)建縮略圖，而且這個(gè)功能同樣適用于macOS中HFS+/APFS加密驅(qū)動(dòng)器。因此，根據(jù)用戶所安裝的快速瀏覽插件，com.apple.QuickLook.thumbnailcache/目錄中所存儲(chǔ)的SQLite數(shù)據(jù)庫文件將包含可訪問文件夾內(nèi)所有的文件、預(yù)覽信息、元數(shù)據(jù)、圖片文件路徑和其他類型的文件。需要注意的是，該功能不僅會(huì)對(duì)用戶選擇快速預(yù)覽的文件創(chuàng)建縮略圖，它還會(huì)對(duì)文件夾內(nèi)所有支持的文件創(chuàng)建緩存內(nèi)容。

為了對(duì)漏洞進(jìn)行演示，Regula創(chuàng)建了一個(gè)VeraCrypt容器，加載并在其中存儲(chǔ)了一張圖片，然后利用快速瀏覽功能創(chuàng)建了該圖片的緩存文件。接下來，他還在macOS HFS+/APFS加密驅(qū)動(dòng)器中存儲(chǔ)了另一張文件，并創(chuàng)建了相應(yīng)的緩存文件。創(chuàng)建完成之后，文件路徑和文件名稱等圖片緩存信息都將存儲(chǔ)在之前所提到的數(shù)據(jù)庫中。之后，研究人員使用了一個(gè)自制腳本提取出了thumbnails.data文件，并獲取到了縮略圖信息。

Regula表示：“這項(xiàng)技術(shù)在數(shù)據(jù)取證領(lǐng)域中早已是‘家喻戶曉了，但我個(gè)人卻是才發(fā)現(xiàn)的。對(duì)我來說，我不能理解為什么存儲(chǔ)在加密容器中的文件也會(huì)使用這樣的機(jī)制來進(jìn)行緩存。當(dāng)我們?cè)谌萜髦袆?chuàng)建一個(gè)文件之后，系統(tǒng)會(huì)自動(dòng)對(duì)文件的縮略圖創(chuàng)建緩存，即使用戶只是在UI界面中查看容器內(nèi)容。值得一提的是，這種技術(shù)還適用于采用了密碼保護(hù)的加密AFPS容器?！?/p>

即使加密卷沒有加載，其中的文件縮略圖仍然會(huì)存儲(chǔ)在臨時(shí)目錄中，這也就意味著這部分內(nèi)容是可以被提取出來的。除此之外，該功能還會(huì)對(duì)用戶插入到Mac電腦上的U盤文件創(chuàng)建緩存縮略圖。

當(dāng)主驅(qū)動(dòng)器被加密之后，在電腦關(guān)閉的情況下數(shù)據(jù)仍然是安全的，但是如果攻擊者或執(zhí)法部門能夠訪問目標(biāo)系統(tǒng)，即使是在加密驅(qū)動(dòng)器沒有被加載的情況下其中的數(shù)據(jù)仍然可以被獲取到。

當(dāng)然了，大家可以使用qlmanage -rcache命令來清除緩存內(nèi)容，而且這個(gè)命令的生效不需要用戶重啟系統(tǒng)。